El 12 de mayo, un ataque de ransomware masivo fue desencadenado, afectando a organizaciones de todo el mundo. El mismo explota una vulnerabilidad de Microsoft Windows descrita y corregida en el Boletín de Seguridad de Microsoft MS17-010. En las últimas ya se habla de 100.000 equipos infectados en 166 países.
El exploit utilizado, «Eternal Blue», fue revelado por Shadowbrokers el 14 de abril. Una vez dentro del sistema, los atacantes instalan un rootkit, que les permite descargar el software para cifrar los datos. Una solicitud de US$ 600 en Bitcoin se muestra junto a una billetera – y la demanda de rescate aumenta con el tiempo.
Según los investigadores de Kaspersky Lab, los subsistemas de protección de la compañía detectaron el 12 de mayo al menos 45.000 intentos de infección en 74 países, El mismo ha ocasionado daños en diversas verticales, desde compañías de Telecomunicaciones hasta Hospitales, por lo cual el radio de acción ha sido muy amplio.
Un experto informático del Reino Unido conocido como “MalwareTech” sostuvo que nuevas versiones del malware, cuya propagación comenzarán difundirse de forma inminente, “con bastante probabilidad» hoy. “La primera versión de WannaCrypt se pudo detener, pero la versión 2.0 probablemente corregirá ese fallo”, afirmó en Twitter.
Kaspersky recomienda:
Instale el parche oficial de Microsoft que cierra la vulnerabilidad utilizada en el
ataque
Asegúrese de que las soluciones de seguridad estén habilitadas en todos los nodos de
la red
Si utiliza la solución de Kaspersky Lab, asegúrese de que incluya el System Watcher,
un componente de detección proactivo de comportamiento y que esté habilitado
Ejecute el Scan de Área Critica en la solución de Kaspersky Lab para detectar una
posible infección lo antes posible (de lo contrario, se detectará automáticamente dentro
de 24 horas, si no se deshabilita).
Reinicie el sistema después de detectar MEM: Trojan.Win64.EquationDrug.gen
Utilice los servicios de Reportes de Inteligencia de Amenazas específicos para clientes
Por su parte, desde Trend Micro recomiendan:
Actualizar todos los patrones de sus productos a la última versión disponible. El modelo «Smart Scan» versión 13.399.00 ya detecta esta amenaza y ya está disponible.
Después de actualizar los patrones, realizar una exploración manual programada en sus dispositivos.
Verificar la activación de todas las protecciones anti-ransomware de sus productos.
Migrar a la última versión de OSCE (OSCE XG).
Activar la protección Smart Scan y High-Fidelity Machine Learning si aún no están activos.
Instalar tecnologías que blindan sus equipos contra la explotación de vulnerabilidades no corregidas: Vulnerability Protection para desktop y Deep Security para servidores.
Implementar mecanismos de detección de amenazas desconocidas (ransomware, APT, etc): Deep Discovery).
Activar la protección anti-rasomware en los servidores.
Una descripción detallada del método de ataque de WannaCry y los Indicadores de
Compromiso se pueden encontrar en Securelist.
