Nueva campaña de Ransomware afecta a empresas en todo el mundo

28/06/2017
Se ha detectado una nueva campaña de ransomware similar al ya conocido Petya que ha afectado a grandes empresas a nivel mundial.

Riesgo: Crítico Crítico
Sistemas afectados:

Pueden estar potencialmente afectados todos los equipos Windows, con cualquier versión y cualquier nivel de parcheo.

Descripción:

Este nuevo ransomware, que ha afectado principalmente a Ucrania pero también a otras empresas a nivel mundial (incluyendo España), comparte características con Petya, ya que reinicia el equipo y modifica el MBR (partición de inicio del disco duro del sistema), impidiendo el acceso al sistema operativo y cifra los documentos del disco duro del equipo. Además, se han encontrado también componentes del ransomware WannaCry, ya que para infectar a los equipos utiliza algunas de las vulnerabilidades utilizadas por dicho ransomware, como las corregidas en el boletín de Microsoft MS17-010.

Por si esto fuera poco, el ransomware incluye en su código una versión de PsExec (para lograr la ejecución de procesos de forma remota) y otra de Mimikatz (para obtener credenciales de los usuarios que han iniciado sesión en el sistema), y se sirve también de WMIC (componente de Windows para realización de tareas de administración). Con todas estas herramientas, y una vez infectado un equipo, intenta obtener credenciales de usuarios con privilegios administrativos en la organización, para posteriormente enumerar los equipos de la red y replicarse en tantos de ellos como le sea posible utilizando las credenciales obtenidas.Si no lo consigue, utiliza exploits como EternalBlue para propagarse.

Hay que destacar que, si tiene éxito robando credenciales, en la fase de propagación se infectarían todos los equipos a pesar de estar completamente parcheados, ya que no se hace uso de ninguna vulnerabilidad, sino que se accede a ellos con credenciales legítimas.

Aún se desconoce el punto exacto de entrada, pero hay varios reportes que apuntan al compromiso del sistema de actualización de un software llamado MEDoc para la realización de tareas de contabilidad y pago de impuestos y con gran difusión en Ucrania. Otros reportes indican que la infección podría venir a través de un correo electrónico de phishing dirigido.

Se han recopilado los siguientes indicadores de compromiso (IoC), que se recomienda monitorizar en todas las redes:

  • Direcciones IP: 84.200.16.242, 95.141.115.108, 111.90.139.247, 185.165.29.78
  • Dominios: coffeinoffice.xyz, french-cooking.com
  • User-Agent: Mozilla/4.08 (Charon; Inferno)

Este malware cifra archivos con las siguientes extensiones: .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip

Se pueden encontrar más IoC, actualizados periódicamente, en esta página de GitHub, y firmas de Snort/Suricata para detectar la ejecución del ransomware aquí.

En la sección de notas se incluyen varios informes relativos a este ataque publicados en las últimas horas.

Solución:

Se recomienda:

  • Actualizar todos los equipos Windows completamente, especialmente la actualización MS17-010 para evitar la vía de entrada de este ransomware.
  • Controlar, y bloquear si es posible, los puertos 139/tcp y 445/tcp, ya que son los que se utilizan en la fase de propagación.
  • Extremar la precaución al abrir correos electrónicos, y no ejecutar ningún fichero si no se está completamente seguro que el remitente y el contenido del correo son lícitos.
  • Restringir al mínimo necesario el uso de cuentas especiales de administración para, en el caso de infección, limitar la propagación del ransomware en la medida de lo posible.
  • Si es necesario utilizar dichas cuentas administrativas, reiniciar los equipos de usuario tras la realización de dichas tareas de administración en los mismos, para evitar que se mantengan cacheadas las contraseñas de administración en dichos equipos dificultando así su robo.

En lo que respecta al uso de credenciales de administración en la organización, otra opción posible sería iniciar sesión con el modo "Restricted Admin Remote Desktop", con el que no se envían las credenciales al equipo cliente, evitando así que se puedan robar de un equipo comprometido. Más información al respecto en SANS DFIR Blog y scip AG Blog.

Recordamos además que no se deben reutilizar contraseñas para diferentes servicios, y no se deben compartir contraseñas entre varios usuarios.

Fuente: CSIRT-CV