18 may

WannaCry, la amenaza de Ransomware más peligrosa

Como seguramente sabrás a consecuencia del gran revuelo formado en los medios de comunicación, un importante ataque de ransomware ha afectado a muchas organizaciones de todo el mundo, incluyendo Telefónica en España, el Servicio Nacional de Salud en el Reino Unido y FedEx en Estados Unidos. El malware responsable de este ataque es una variante de ransomware conocida como ‘WannaCry‘.

Dicho malware tiene la capacidad de escanear en gran medida el puerto 445 (Server Message Block / SMB), propagándose de forma similar a un gusano, comprometiendo hosts, cifrando archivos almacenados en ellos y exigiendo un pago de rescate en forma de Bitcoin.

Las compañías de seguridad, incluyendo la división Talos de Cisco, confirmaron que WannaCry había dejado de difundirse gracias al trabajo de MalwareTech. Talos también confirmó el uso de malware de exploits filtrados por una tripulación llamada Shadow Brokers, que cree que han descartado herramientas de hackers pertenecientes a la NSA. La empresa, en un blog, ha comunicado que WannaCry (también conocido como WannaCrypt) se intenta instalar a través de una puerta trasera llamada DoublePulsar.

La amenaza del 12 de mayo de WannaCry

De la misma manera que las bacterias mutan para volverse resistentes a los antibióticos, también lo es el virus WannaCry.

Este malware estuvo detrás del masivo ataque de ransomware que comenzó el viernes 12 de mayo de 2017, golpeando a más de 150 países y 200.000 equipos informáticos, cerrando hospitales, universidades, almacenes y bancos.

El ataque encerró a la gente fuera de sus ordenadores, exigiendo que paguen hasta 300 dólares cada uno (en forma de bitcoins), con la amenaza de perder los archivos importantes para siempre. El ataque se extendió rápidamente por todo el mundo, hasta que un investigador de ciberseguridad encontró accidentalmente una forma de detener la propagación del código malicioso. Concretamente, adquirió un nombre de dominio no registrado que compró por 10 dólares para detener el hack de WannaCry, al menos temporalmente.

Cisco Umbrella, la solución efectiva contra WannaCry

Cisco Umbrella ha podido bloquear los dominios a los que llama el ransomware de WannaCry. Todas las comunicaciones relacionadas con este malware, incluidos los dominios DGA y las direcciones IP, han sido confirmadas en listas de bloqueo.

Las primeras solicitudes de WannaCry fueron el viernes a las 07:24, las cuales fueron detectadas por Cisco Umbrella (la plataforma de seguridad en la nube alertó a los usuarios de un malware que quería establecer conexión al dominio iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com de forma instantánea). A las 10:12, el dominio se clasificó como malware y se bloqueó para todos los usuarios.

Las soluciones de Cisco contra WannaCry

Otras maneras en que nuestros clientes pueden detectar y bloquear esta amenaza se enumeran a continuación:

  • Advanced Malware Protection (AMP): es ideal para prevenir la ejecución del malware utilizado por los actores de la amenaza.
  • El escaneado web CWS o WSA: el cual impide el acceso a sitios web maliciosos y detecta el malware utilizado en los ataques.
  • La protección de seguridad de red de los dispositivos IPS, NGFW y Meraki MX: tienen firmas actualizadas para detectar la actividad de la red maliciosa por parte de los agentes de amenaza.
  • AMP Threat Grid: ayuda a identificar binarios maliciosos y a crear protección en todos los productos de Cisco Seguridad.
  • Umbrella: evita la resolución de DNS de los dominios asociados con la actividad maliciosa. Como bien hemos expuesto, ha resultado una de las soluciones más efectivas del mercado en la propagación de hace unos días.
  • Stealthwatch: detecta la actividad de exploración de red, la propagación de red y las conexiones a las infraestructuras de CnC, correlacionando esta actividad con los administradores de alertas.

WannaCry

Así pues, confiar en una empresa como Cisco para luchar contra este tipo de ataques es la mejor opción para estar protegidos.

 

¿Estás verdaderamente protegido frente las amenazas de Ransomware y más concretamente de WannaCry? En Datacom.Global, como partners de Cisco, implantamos sus soluciones de seguridad y ofrecemos asesorías de seguridad para determinar el nivel de vulnerabilidad contra estos poderosos ataques.

 
Guia detección y amenazas de CISCO

Share this