Ataque a nivel mundial de WannaCry (Actualizado)


En las últimas horas muchos medios se han hecho eco de una oleada de infecciones con ransomware de varias compañías y organizaciones de diferentes partes del mundo. Todos los indicios indican que se trata del ransomware WannaCry, un ransomware que se vale de cifrado AES y RSA para tomar “de rehén” información contenida en el sistema infectado.

Al menos 74 países han sufrido el ataque de WannaCry, que este viernes se hizo conocido (y famoso) por ser parte de una infección a la empresa Telefónica. Este no es un ataque dirigido ni una APT y, al momento de escribir el presente, se han registrado más de 55.000 ataques en todo el mundo.


De acuerdo al Centro Criptológico Nacional de España esta amenaza se vale de la vulnerabilidad EternalBlue/DoblePulsar incluida en el boletín de seguridad MS17-010 de Microsoft, para poder infectar a otros equipos Windows que estén conectados a una misma red. Según el CCN-CERT, la explotación de esa vulnerabilidad permite la ejecución remota de comandos a través de Samba.

El boletín de seguridad MS17-010 se encuentra disponible para las siguientes plataformas:

  • Microsoft Windows Vista SP2
  • Windows Server 2008 SP2 y R2 SP1
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 y R2
  • Windows 10
  • Windows Server 2016
Por otra parte, otras fuentes afirman con que esta versión del ransomware está conectado con algunas herramientas de la NSA que han sido robadas por el grupo Shadow Brokers.

Lo cierto es que, dado que este código malicioso ha infectado a importantes organizaciones en muy poco tiempo, el caso ha tomado una relevancia mayor a la que suelen tener este tipo de amenazas. La explotación de SMB se realiza a partir de la portación del exploit por parte de RiskSense-Ops.

 Ya se han publicado reglas de Yara para detectar este malware


ACTUALIZACIÓN 15/4/17

En sus versiones iniciales de este ransomware los datos podían ser descifrados, sin embargo en las versiones actuales ya no es posible porque utiliza cifrado AES-128 y afecta a 179 extensiones de archivos.

Una de las mejores formas de confirmar que se trata de un ransom genérico es verificar que sólo solicita entre USD 300 y USD 600 (0,16 bitcoin a la cotización actual) de rescate a las siguientes direcciones:

Total de dinero recaudado:  59.115 Dolares

Se recomienda actualizar los sistemas a su última versión o parchear según informa Microsoft en su actualización MS17-010. Esta planilla contiene el total de las consultas por CVE según Microsoft y son los correspondientes al MS17-010:

  • CVE-2017-0143 Crítico - Windows SMB Remote Code Execution Vulnerability
  • CVE-2017-0144 Crítico - Windows SMB Remote Code Execution Vulnerability
  • CVE-2017-0145 Crítico - Windows SMB Remote Code Execution Vulnerability
  • CVE-2017-0146 Crítico - Windows SMB Remote Code Execution Vulnerability
  • (CVE-2017-0147 Importante - Windows SMB Information Disclosure Vulnerability)
  • CVE-2017-0148 Crítico - Windows SMB Remote Code Execution Vulnerability 
  • Las máquinas con Windows 10 no son vulnerables 
Luego de la infección inicial el proceso "tasksche.exe" verifica los discos físicos y removibles disponibles y los recursos compartidos mapeados como unidad y los cifra con RSA 2048-bit.

La propagación masiva de WannaCry ha sido principalmente a través de SMB v1, lo que implica los puertos 139 y 445 abiertos. Si una sola máquina queda expuesta, luego se pone riesgo toda la red, debido a que se propagaba por sí mismo. Al momento de escribir esto, existen más de 1.500.000 equipos en esa situación.

Kaspersky y Symantec han dicho que también se utiliza SMB v2 pero, luego de la aplicación del parche en SMB v1, no se han detectado infecciones. Es decir que SMB v2 ayuda a la propagación, pero no es estrictamente necesario para la explotación.
 

Funcionamiento del gusano

El componente inicial que infecta los sistemas es un gusano que contiene y ejecuta el ransomware. Este gusano utilizando la vulnerabilidad ETERNALBLUE SMB (MS17-010). El proceso principal primero intenta conectarse al sitio web utilizado como killswitch y si la conexión tiene éxito, el binario termina su ejecución.

Después de pasar este control, lo primero que hace el gusano es comprobar el número de argumentos con los que se lanzó. Si se ejecutó con menos de dos argumentos, se instala e inicia un servicio denominado mssecsvc2.0 con el nombre "Microsoft Security Center (2.0) Service".

Cuando infecta con éxito una computadora vulnerable, el malware ejecuta el shellcode a nivel de kernel, igual que lo hace DOUBLEPULSAR, pero con ciertos ajustes para permitir la ejecución del ransomware, tanto para sistemas x86 como x64.

Si DOUBLEPULSAR ya estaba presente en el sistema (alguien lo instaló antes), lo aprovecha para instalar el ransomware. Si DOUBLEPULSAR no está presente, se intenta explotar el exploit utilizando las vulnerabilidades de SMB v1 (MS17-010 / KB4012598).

El código del ransom propiamente dicho es un archivo ZIP almacenado en la sección de recursos y protegido por contraseña ("WNcry @ 2ol7") dentro del gusano. Una vez iniciado el servicio, se extrae el archivo, se copia el binario (x86 o x64) del ransomware y se ejecuta. La rutina de cifrado de documentos y los archivos dentro del ZIP contienen las herramientas de soporte, una herramienta de descifrado y el mensaje de rescate.

WannaCrypt cifra todos los archivos que encuentra y les añade ".WNCRY" al nombre del archivo. Por ejemplo, si un archivo se llama "sample.jpg", el ransomware lo cifra y le cambia el nombre a "sample.jpg.WNCRY".

El ransomware también crea el archivo "@ Please_Read_Me @ .txt" en cada carpeta donde se cifran archivos. El archivo contiene el mismo mensaje de rescate mostrado en la imagen de fondo de pantalla. Después de completar el proceso de cifrado, el malware elimina todas las copias Shadow.



Detalles técnicos realizados por  la empresa EndGame y Cisco Talos sobre el funcionamiento de WannaCry:

Archivos relacionados:

Ante la duda de una infección conviene buscar las siguientes rutas de registros y archivos:


C:\Users\ADMINI~1\AppData\Local\Temp\@WanaDecryptor@.exe.lnk C:\Users\ADMINI~1\AppData\Local\Temp\@WanaDecryptor@.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "\tasksche.exe" HKLM\SOFTWARE\WanaCrypt0r\wd = "" HKCU\Control Panel\Desktop\Wallpaper: "\@WanaDecryptor@.bmp"

Otros archivos:

  • \msg  —  This folder contains the RTF describing the different instructions for the ransom-ware. Totaling 28 languages.
  • b.wnry  —  BMP image used as a background image replacement by the malware.
  • c.wnry  —  configuration file containing the target address, but also the tor communication endpoints information.
  • s.wnry  —  Tor client to communication with the above endpoints.
  • u.wnry  —  UI interface of the ransomware, containing the communications routines and password validation
  • t.wnry  — "WANACRY!" file — contains default keys
  • r.wnry  —  Q&A file used by the application containing payment instructions
  • taskdl.exe / taskse.exe
El malware también descarga la version 0.2.9.10 TOR browser.
 
Kaspersky, MalwareBytes y Mcafee han publicado un mini-análisis del malware.

Microsoft publicó actualizaciones para los sistemas discontinuados como Windows XP y Windows Server 2003 (en todos los idiomas)


Solución "casera" si no deseas actualizar:

Debido a que el gusano explota una vulnerabilidad en Samba SMB v1.0/CIFS, si no deseas (o no puedes) instalar el parche MS17-010, puedes desactivar este protocolo de la siguiente manera: Panel de control - Activar o desactivar caracteristicas de Windows - Desactivar "Compatibilidad con el protocolo para compartir archivos SMB 1.0/CIFS"

También se puede crear un mutex "MsWinZonesCacheCounterMutexA" para evitar que el ransom se ejecute.

Basado en el funcionamiento del malware se han publicados 2 tipos de "vacunas" gratuitas que evitan que el malware infecte un equipo determinado. Esta solución puede ser útil para sistemas que no pueden usar antivirus y/o no se pueden actualizar.

Estas herramientas solo funcionan con las versiones actuales y podrían quedar en desuso en poco tiempo, con las versiones nuevas del malware.