Pagina principal Seguridad El ataque global del ransomware y cómo proteger sus datos

El ataque global del ransomware y cómo proteger sus datos

  • Peter Holmes
  • 0
  • 3639
  • 347
Anuncio

Un ciberataque masivo ha afectado a las computadoras en todo el mundo. El ransomware autorreplicante altamente virulento, conocido como WanaCryptor, Wannacry o Wcry, se ha apropiado en parte de un exploit de la Agencia de Seguridad Nacional (NSA) lanzado en la naturaleza el mes pasado. Herramientas: lo que esto significa para usted El malware más peligroso de la Agencia Central de Inteligencia, capaz de piratear casi todos los dispositivos electrónicos de consumo inalámbricos, ahora podría estar en manos de ladrones y terroristas. Entonces, ¿Qué significa eso para ti? por un grupo de pirateo conocido como The Shadow Brokers.

Se cree que el ransomware ha infectado al menos 100,000 computadoras, según los desarrolladores de antivirus, Avast. El ataque masivo se dirigió principalmente a Rusia, Ucrania y Taiwán, pero se extendió a las principales instituciones de al menos otros 99 países. Además de exigir $ 300 (alrededor de 0.17 Bitcoin al momento de escribir), la infección también es notable por su enfoque multilingüe para asegurar el rescate: el malware admite más de dos docenas de idiomas.

Que esta pasando?

WanaCryptor está causando una interrupción masiva, casi sin precedentes. El ransomware está afectando a bancos, hospitales, telecomunicaciones, servicios públicos de energía y otra infraestructura de misión crítica. sus resultados rara vez se observan. ¿Pero quiénes son los jugadores en este teatro de guerra y cuáles son sus armas?? .

Solo en el Reino Unido, al menos 40 Fideicomisos del Servicio Nacional de Salud (NHS, por sus siglas en inglés) declararon emergencias, lo que obligó a la cancelación de cirugías importantes, además de socavar la seguridad del paciente y casi seguramente provocar muertes.

La policía está en Southport Hospital y las ambulancias están 'respaldadas' en A&E mientras el personal hace frente a la crisis de piratería en curso #NHS pic.twitter.com/Oz25Gt09ft

- Ollie Cowan (@Ollie_Cowan) 12 de mayo de 2017

WanaCryptor surgió por primera vez en febrero de 2017. La versión inicial del ransomware cambió las extensiones de archivo afectadas a “.WNCRY” así como marcar cada archivo con la cadena “WANACRY!”

WanaCryptor 2.0 se está extendiendo rápidamente entre las computadoras usando un exploit asociado con Equation Group, un colectivo de piratería estrechamente asociado con la NSA (y se rumorea fuertemente que es su empresa “sucio” unidad de pirateo). El respetado investigador de seguridad, Kafeine, confirmó que el exploit conocido como ETERNALBLUE o MS17-010 probablemente habría aparecido en la versión actualizada.

WannaCry / WanaCrypt0r 2.0 está activando la regla ET: 2024218 "EXPLOTACIÓN ET Posible ETERNALBLUE MS17-010 Respuesta de eco" pic.twitter.com/ynahjWxTIA

- Kafeine (@kafeine) 12 de mayo de 2017

Múltiples exploits

Este brote de ransomware es diferente a lo que ya haya visto (y espero que no haya experimentado). WanaCryptor 2.0 combina la explotación SMB (Server Message Block, un protocolo de intercambio de archivos de red de Windows) con una carga útil autorreplicante que permite que el ransomware se propague de una máquina vulnerable a la siguiente. Este gusano de rescate elimina el método habitual de entrega de ransomware de un correo electrónico infectado, un enlace u otra acción.

Adam Kujawa, investigador de Malwarebytes, le dijo a Ars Technica “El vector de infección inicial es algo que todavía estamos tratando de descubrir ... Teniendo en cuenta que este ataque parece dirigido, podría haber sido a través de una vulnerabilidad en las defensas de la red o un ataque de phishing de lanza muy bien diseñado. En cualquier caso, se está propagando a través de redes infectadas utilizando la vulnerabilidad EternalBlue, infectando sistemas adicionales sin parchear.”

WanaCryptor también está aprovechando DOUBLEPULSAR, otro exploit de la NSA filtrado. CIA Hacking & Vault 7: su guía para el último lanzamiento de WikiLeaks CIA Hacking & Vault 7: su guía para el último lanzamiento de WikiLeaks. Pero la CIA no te está mirando realmente a través de tu televisor inteligente, ¿verdad? ¿Seguramente los documentos filtrados son falsos? O tal vez es más complicado que eso. . Esta es una puerta trasera utilizada para inyectar y ejecutar código malicioso de forma remota. La infección busca hosts previamente infectados con la puerta trasera, y cuando se encuentra utiliza la funcionalidad existente para instalar WanaCryptor. En los casos en que el sistema host no tiene una puerta trasera DOUBLEPULSAR existente, el malware vuelve al exploit ETERNALBLUE SMB.

Actualización de seguridad crítica

La fuga masiva de herramientas de piratería de la NSA fue noticia en todo el mundo. Existe evidencia inmediata e inigualable de que la NSA recolecta y almacena exploits inéditos de día cero para su propio uso. Esto plantea un enorme riesgo de seguridad. 5 maneras de protegerse de un exploit de día cero. amenaza a sus datos y privacidad. Así es como puedes mantener a raya a los hackers. , como hemos visto ahora.

Afortunadamente, Microsoft parchó el exploit Eternalblue en marzo antes de que el enorme tesoro de armas de Shadow Brokers llegara a los titulares. Dada la naturaleza del ataque, que sabemos que esta vulnerabilidad específica está en juego y la naturaleza rápida de la infección, parecería que un gran número de organizaciones no han podido instalar la actualización crítica Cómo y por qué necesita instalar ese parche de seguridad Cómo Y por qué necesita instalar ese parche de seguridad: más de dos meses después de su lanzamiento.

En última instancia, las organizaciones afectadas querrán jugar el juego de la culpa. Pero, ¿dónde debe señalar el dedo? En este caso, hay suficiente culpa para compartir: la NSA por almacenar hazañas peligrosas de día cero ¿Qué es una vulnerabilidad de día cero? [MakeUseOf explica] ¿Qué es una vulnerabilidad de día cero? [Explica MakeUseOf], los malhechores que actualizaron WanaCryptor con los exploits filtrados, las numerosas organizaciones que ignoraron una actualización de seguridad crítica y otras organizaciones que aún usan Windows XP.

Esa gente puede haber muerto porque las organizaciones encontraron que la carga de actualizar su sistema operativo primario es simplemente sorprendente.

Microsoft lanzó inmediatamente una actualización de seguridad crítica para Windows Server 2003, Windows 8 y Windows XP.

Microsoft lanza la protección #WannaCrypt para productos fuera de soporte Windows XP, Windows 8 y Windows Server 2003: https://t.co/ZgINDXAdCj

- Microsoft (@Microsoft) 13 de mayo de 2017

¿Estoy en riesgo??

WanaCryptor 2.0 se extendió como un incendio forestal. En cierto sentido, personas ajenas a la industria de la seguridad habían olvidado la rápida propagación de un gusano y el pánico que puede causar. En esta era hiperconectada, y combinada con crypto-ransomware, los proveedores de malware fueron un ganador aterrador.

¿Estás en riesgo? Afortunadamente, antes de que Estados Unidos despertara y comenzara el día de la informática, el MalwareTechBlog encontró un interruptor oculto en el código del malware, lo que redujo la propagación de la infección..

El interruptor de interrupción involucró un nombre de dominio sin sentido muy largo - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - que el malware hace una solicitud a.

Así que solo puedo agregar "accidentalmente detuvo un ciberataque internacional" a mi CV. ^^

- ScarewareTech (@MalwareTechBlog) 13 de mayo de 2017

Si la solicitud vuelve a estar activa (es decir, acepta la solicitud), el malware no infecta la máquina. Desafortunadamente, eso no ayuda a nadie ya infectado. El investigador de seguridad detrás de MalwareTechBlog registró la dirección para rastrear nuevas infecciones a través de sus solicitudes, sin darse cuenta de que se trataba del interruptor de emergencia..

La carga útil de propagación de #WannaCry contiene un dominio no registrado anteriormente, la ejecución falla ahora que el dominio se ha hundido pic.twitter.com/z2ClEnZAD2

- Darien Huss (@darienhuss) 12 de mayo de 2017

Desafortunadamente, existe la posibilidad de que existan otras variantes del ransomware, cada una con su propio interruptor de interrupción (o nada en absoluto, según sea el caso).

La vulnerabilidad también se puede mitigar deshabilitando SMBv1. Microsoft proporciona un tutorial completo sobre cómo hacer esto para Windows y Windows Server. En Windows 10, esto se puede lograr rápidamente presionando Tecla de Windows + X, seleccionando PowerShell (administrador), y pegando el siguiente código:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

SMB1 es un protocolo antiguo. Las versiones más recientes no son vulnerables a la variante WanaCryptor 2.0.

Además, si su sistema se ha actualizado normalmente, está improbable sentir los efectos directos de esta infección en particular. Dicho esto, si canceló una cita del NHS, el pago bancario salió mal o un paquete vital no llegó, usted se vio afectado, independientemente.

Y para los sabios, un exploit parcheado no siempre hace el trabajo. Conficker, cualquiera?

¿Qué pasa después??

En el Reino Unido, WanaCryptor 2.0 se describió inicialmente como un ataque directo al NHS. Esto ha sido descontado. Pero el problema sigue siendo que cientos de miles de personas experimentaron una interrupción directa debido al malware.

El malware tiene características distintivas de un ataque con consecuencias drásticamente no deseadas. El experto en ciberseguridad, Dr. Afzal Ashraf, le dijo a la BBC que “Probablemente atacaron a una pequeña empresa suponiendo que obtendrían una pequeña cantidad de dinero, pero entró en el sistema del NHS y ahora tienen todo el poder del estado contra ellos, porque obviamente, el gobierno no puede permitirse que suceda este tipo de cosas. y tener éxito.”

No es solo el NHS, por supuesto. En España, El mundo informan que el 85 por ciento de las computadoras en Telefónica se vieron afectadas por el gusano. Fedex confesó que habían sido afectados, así como Portugal Telecom y MegaFon de Rusia. Y eso sin tener en cuenta los principales proveedores de infraestructura, también.

Dos direcciones de bitcoin creadas (aquí y aquí) para recibir rescates ahora contienen un BTC combinado de 9.21 (alrededor de $ 16,000 USD al momento de la escritura) de 42 transacciones. Dicho esto, y corroborando el “consecuencias no deseadas” teoría, es la falta de identificación del sistema proporcionada con los pagos de Bitcoin.

Tal vez me estoy perdiendo algo. Si tantas víctimas de Wcry tienen la misma dirección de bitcoin, ¿cómo pueden saber los desarrolladores quién pagó? Algunas cosas ??.

- BleepingComputer (@BleepinComputer) 12 de mayo de 2017

Entonces, ¿qué pasa después? Comienza el proceso de limpieza, y las organizaciones afectadas cuentan sus pérdidas, tanto financieras como basadas en datos. Además, las organizaciones afectadas analizarán detenidamente sus prácticas de seguridad y, espero realmente, actualizarán, dejando atrás el anticuado y ahora peligroso sistema operativo Windows XP.

Esperamos.

¿Te afectó directamente WanaCryptor 2.0? ¿Perdió datos o canceló una cita? ¿Crees que los gobiernos deberían forzar la actualización de la infraestructura de misión crítica? Háganos saber sus experiencias de WanaCryptor 2.0 a continuación y dénos una parte si lo hemos ayudado.

Crédito de imagen: todo lo que hago a través de Shutterstock.com




Nadie ha comentado sobre este artículo todavía.

Cómo habilitar la página de opciones ocultas en Microsoft Edge
Internet
5 aplicaciones web para solucionar molestias comunes de correo electrónico
Internet
El mejor servicio de entrega de comida UberEats vs. Doordash
Internet
Sobre tecnología moderna, simple y asequible.
Tu guía en el mundo de la tecnología moderna. Aprenda a usar las tecnologías y los dispositivos que nos rodean todos los días y aprenda a descubrir cosas interesantes en Internet.