domingo, mayo 14, 2017

Actualización informativa sobre los ciberataques producidos vía @INCIBE

El Ministerio de Energía, Turismo y Agenda Digital informa a través del Instituto Nacional de Ciberseguridad (INCIBE) que el Centro de Respuesta a Incidentes de Seguridad e Industria (CERTSI), operado de forma coordinada por INCIBE y el Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC), continúa trabajando con las empresas afectadas por los ciberataques que empezaron a producirse el viernes 12 de mayo.

Figura 1: Actualización informatica sobre los ciberataques producidos vía @INCIBE

Telefónica, una de las primeras compañías en detectar la amenaza, ha sido clave para acotar y minimizar el impacto del ataque en otras empresas y organismos. Gracias al trabajo conjunto con las entidades afectadas y en particular con Telefónica, el equipo del CERTSI ha podido confirmar y analizar que existen al menos dos variantes del virus informático.

La primera de ellas, WannaCrypt.A[1] realiza, como primer paso antes de comenzar a cifrar los documentos del equipo, un intento de conexión a una página web codificada internamente. Si consigue realizar la conexión con éxito, no cifra ningún documento. Si, por el contrario, no consigue realizar la conexión a la página web, comienza el cifrado de los documentos y solicita el pago del rescate de los documentos cifrados.

La segunda variante, WannaCrypt.B, comienza inmediatamente con el cifrado de los archivos para posteriormente solicitar el pago del rescate de los documentos cifrados. De acuerdo con el análisis realizado conjuntamente con Telefónica, esta variante es la que ha afectado a esta empresa en concreto.

En las últimas 24 horas se han identificado más de 100.000 equipos infectados por la variante de WannaCrypt.A en un total de 166 países distintos. No obstante, se está conteniendo la propagación de la infección a nuevos sistemas informáticos y nuevos países al aplicar los mecanismos de prevención que se están publicando y difundiendo a nivel mundial.

España se encuentra en la posición 18 del ranking por países, con algo menos de 600 infecciones confirmadas de esta variante del virus WannaCrypt.A.

Respecto a infecciones de WannaCrypt.B, en España de momento no hay datos disponibles, salvo que se trata de la variante que ha afectado a Telefónica, como se ha comentado anteriormente.

En cuanto a los operadores estratégicos nacionales, se ha confirmado la infección en menos de una decena de ellos y desde el CERTSI se está en contacto permanente para proporcionarles métodos para protegerse y evitar la propagación del virus informático.

Como se ha informado en las anteriores comunicaciones oficiales, este virus informático, una vez que ha infectado un equipo, se propaga aprovechando, una serie de vulnerabilidades en sistemas operativos Windows de Microsoft, para los que ya hay disponible una actualización de seguridad que lo soluciona. Dichas actualizaciones cubren todos los sistemas operativos que actualmente tienen soporte oficial del fabricante y, de forma excepcional, también se han incluido versiones obsoletas como Windows XP, Windows Server 2003 y Windows 8.

Desde el CERTSI se recomienda seguir informados a través de los canales oficiales y de las actualizaciones periódicas. Las principales recomendaciones que se ofrecen son:
- Actualizar los equipos con los últimos parches de seguridad publicados por el fabricante. 
- No abrir ficheros, adjuntos o enlaces de correos electrónicos no confiables, ni contestar a este tipo de correos. 
- Precaución al seguir enlaces en correos, mensajería instantánea y redes sociales, aunque sean de contactos conocidos. 
- Disponer de herramientas de protección adecuadas tales como antivirus/antimalware y cortafuegos. 
- Realizar copias de seguridad periódicas de nuestra información, principalmente la más sensible o importante de nuestros dispositivos.
Además, desde el CERTSI se continúa trabajando en dos líneas de actuación:

- Mitigación y ayuda a recuperar la información: Analizando el malware para encontrar una solución de descifrado y documentando la amenaza y compartiendo la información con empresas afectadas o potencialmente vulnerables, para que los receptores de la información puedan mejorar sus medidas de prevención, detección, bloqueo, y mitigación.

- Alerta temprana y prevención: enviando información a todos los operadores estratégicos nacionales con la última información disponible de la infección y métodos para protegerse y evitar la propagación del virus informático y a otros centros de respuesta ante incidentes de otros países con objeto de que desplieguen medidas preventivas La alerta con las actualizaciones y detalles se puede consultar en las direcciones de los blogs corporativos de INCIBE:

Alerta CERTSI
- Alerta ciudadanos
- Alerta empresas

Y además el CERTSI está a disposición de cualquier ciudadano y empresa que necesite información y soporte para prevenir y mitigar el incidente.

[1] A y B son denominaciones establecidas por CERTSI dado que hasta el momento no se ha asignado ningún nombre diferente a nivel mundial a las dos variantes.

Publicado el 14/05/2017 por @INCIBE

Nota: Todas las carpetas protegidas por Latch ARW están a salvo del cifrado de Wannacry de los documentos

13 comentarios:

Carlos.Aroca.Diez dijo...

Gracias Chema por toda la info.

Solo añadir: Por si no podemos aplicar el parche de Microsoft, otra alternativa para evitar la propagación de este ransomware es deshabilitar la compatibilidad con SMB 1.0.

Aquí, como hacerlo para todos los sistemas operativos Windows:

http://www.sysadmit.com/2017/05/windows-deshabilitar-smb-10.html

David dijo...

Chema, nos puedes explicar como un parche que es considerado critico por Microsoft, que sale a la luz y consecuentemente es conocido por todos los hackers no es instalado en unos pocos dias, y/o en el peor de los casos se toman medidas de proteccion? La historia/cuento del QA y de los test esta muy bonita pero aqui hablamos de un parche critico que afecta gravemente a la seguridad. Pregunta facil, cuanto tarda el departemante de QA en validar un parche de MS y cual es el porcentaje de rechazos, ahora que eres data Chief eso tiene que estar chupado ;-) ?

David dijo...

Una pregunta mas tecnica, los malware utilizan una(s) direccion(es) para generar las llaves de encripcion, a menos que cada version descargada sea distinta. Porque no se puede 'hackear' rapidamente esas direcciones ? Como es posible que versiones del malware sigan apareciendo ?

Khepper dijo...

David, es bastante más complejo, cuando tienes infraestructuras que no pueden dejar de funcionar, aplicar parches no es tan simple como en en casa o en empresas pequeñas. Si al aplicar un parche algo deja de funcionar en una empresa pequeña, la empresa se para, en empresas grandes no se pueden parar y se asumen ciertos riesgos.

En este caso concreto, ha sido algo mediático que apenas ha afectado a las empresas, salvo por que algunos empleados se han ido antes a su casa. Ni se han pagado apenas rescates ni se han perdido datos, solo la prensa ha ganado dinero con el bombo que se ha dado (llevaban tiempo sin noticias de este tipo)

A tu segunda pregunta, estos virus utilizan una clave distinta para cada equipo cifrado, por lo que necesitas el "generador de códigos" que no está en el mismo sitio de donde se infecta a los usuarios. En general los sitios maliciosos suelen desactivarse, además los navegadores impiden que entres en ellos entre otras muchas medidas

F. G. Aleman dijo...

Algo que nadie me ha respondido nadie en Twitter... pero la Wannacrypt.A y WannacryptB tienen las mismas billeteras de bitcoin?

Porque si son las mismas estamos hablando de que el delincuente actualizo su ransomware... si son diferentes podríamos pensar que hay un segundo delincuente que modifico la obra del primero...

Mas que nada para saber a qué o quiénes nos enfrentamos!

saludos desde Argentina!

Ecko dijo...

O sea que hay dos malwares nuevos llamados WannaCrypt A y WannaCrypt B, ¿Cuánto tiempo se estima lograr descifrarlos?

PD: Si alguien tiene una herramienta cortafuegos, y que me proteja bien el ordenador sería de mucho agrado que pueda pasarmela.

Christian Hernández dijo...

Es importante en todos los casos primero informarse y luego opinar, esto va por la prensa amarillista, que cuando oye "Hacker" parece que pone interés...

Enlaces interesantes:

Información Microsoft: https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/

Comprueba si tu puerto 445 está accesible, si lo está, malo

http://www.whatsmyip.org/port-scanner/server/

Saludos.

Miguel Ángel Abad dijo...

A mi me queda una duda, todavía no se sabe el método en que ha entrado a todas esas empresas... por email? por vulnerabilidad de un servidor publicado con el 445 abierto?

De alguna manera tiene que haber entrado...

Saludos

Las cosas de Goku dijo...

Herramientas como esta https://youtu.be/SJtvHHCcVD0
Son funcionales y fiables???
GRACIAS

hijo de dijo...

O sea, Chema, que se dejan desprotegidos ordenadores de compañía por cuestiones de compatibilidad. Si se operara con estándares abiertos no habría este problema. Eso es lo malo de las aplicaciones propietarias, que te acaban dando por el saco. A ver si inicias una campaña entre la alta dirección para concienciar. Basta de tropecientos estándares al capricho de tal o cual director de turno. Estándares abiertos, ya. O sea, grosso modo, menos plugins y más html.

hijo de dijo...

@David El entorno de certificación de este tipo de cosas en Telefónica (como en el resto de grandes empresas, imagino) es bastante lento. Es hora de acabar con esto. Y Chema: tú puedes cambiar las cosas. Tienes buena prensa entre la dirección y todavía no te han enterrado en burocracia.

Rosa Martinez dijo...

He visto que el CCN-CERT ha publicado una herramienta, NoMoreCry, que frena la acción del malware WannaCry:

Herramienta NoMoreCry

Parece que mientras unos se dedican a publicar estadísticas, otros publican soluciones...

Leonardo Ratafiá dijo...

una pregunta nomas, la infectacion del pc comienza solamente si se abre el mail ese que llega o aun sin llegarte ningun mail te puedes infectar? entiendo que si estas en una red local y cualquier equipo de esa red es infectado (abriendo un correo electronico con el malware) seguramente tambien se te infecte el pc, ya que se propaga por la red pero no abriendo ningun mail o adjunto en la empresa se esta a salvo?
gracias

Entrada destacada

Nuevo libro "Máxima Seguridad en Windows: Secretos Técnicos 4ª Edición" de @0xWord

Desde 0xWord se ha acelerado para tener a tiempo antes del verano la 4ª Edición del libro "Máxima Seguridad en Windows: Secretos Técn...

Entradas populares