Identificado ataque de ransomware que afecta a sistemas Windows
Se ha alertado de un ataque masivo de ransomware que afecta a sistemas Windows, bloqueando el acceso a los archivos (tanto en sus discos duros como en las unidades de red a las que estén conectadas). La especial criticidad de esta campaña viene provocada por la explotación de la vulnerabilidad descrita en el boletín MS17-010 utilizando EternalBlue/DoublePulsar, que puede infectar al resto de sistemas Windows conectados en esa misma red que no estén debidamente actualizados. La infección de un solo equipo puede llegar a comprometer a toda la red corporativa.

El ransomware, una variante de WannaCry, infecta la máquina cifrando todos sus archivos y, utilizando la vulnerabilidad citada en el párrafo anterior que permite la ejecución de comandos remota a través de Samba (SMB) y se distribuye al resto de máquinas Windows que haya en esa misma red.

Los sistemas afectados que disponen de actualización de seguridad son:

  • Microsoft Windows Vista SP2

  • Windows Server 2008 SP2 y R2 SP1

  • Windows 7

  • Windows 8.1

  • Windows RT 8.1

  • Windows Server 2012 y R2

  • Windows 10

  • Windows Server 2016

Medidas de prevención y mitigación

El CCN-CERT recomienda lo siguiente:

  1. Actualizar los sistemas a su última versión o parchear según informa el fabricante

  2. Para los sistemas sin soporte o parche se recomienda aislar de la red o apagar según sea el caso.

  3. Aislar la comunicación a los puertos 137 y 138 UDP y puertos 139 y 445 TCP en las redes de las organizaciones.

  4. Descubrir qué sistemas, dentro de su red, pueden ser susceptibles de ser atacados a través de la vulnerabilidad de Windows, en cuyo caso, puedan ser aislados, actualizados y/o apagados.

Nosotros además además de lo recomendado por el CCN-CERT sugerimos lo siguiente:

  • Uso de Anti Ransom http://www.security-projects.com/?Anti_Ransom

El CCN-CERT dispone de un Informe de Medidas de seguridad contra el ransomware, en el que se incluyen pautas y recomendaciones generales y en el que se detallan los pasos del proceso de desinfección y las principales herramientas de recuperación de los archivos, en este tipo de ataques.

Tal y como se indica en el informe de amenazas sobre ransomware, efectuar el pago por el rescate del equipo no garantiza que los atacantes envíen la utilidad y/o contraseña de descifrado, sólo premia su campaña y les motiva a seguir distribuyendo masivamente este tipo de código dañino.

En el caso de haberse visto afectados por esta campaña y no dispusieran de copias de seguridad, se recomienda conservar los ficheros que hubieran sido cifrados por la muestra de ransomware antes de desinfectar la máquina, ya que no es descartable que en un futuro apareciera una herramienta que permitiera descifrar los documentos que se hubieran visto afectados.

Consejos para evitar el ransomware
El ransomware se ha puesto muy de moda en los últimos meses, causando verdaderos quebraderos de cabeza tanto a particulares como a empresas e instituciones que han sido víctimas de uno de estos ataques. Y aunque tendemos a pensar que esas cosas "siempre les pasan a los demás", lo cierto es que si no se toman las precauciones adecuadas, cualquiera puede acabar siendo objeto de los cibercriminales.