Comunicado oficial de Symantec
Symantec ha descubierto dos posibles enlaces que atan vagamente el ataque WannaCry ransomware y el grupo Lázaro:
- Coincidencia de herramientas conocidas de Lazarus y WannaCry ransomware: Symantec identificó la presencia de herramientas utilizadas exclusivamente por Lázaro en máquinas también infectadas con versiones anteriores de WannaCry. Estas variantes anteriores de WannaCry no tenían la capacidad de difundir vía SMB. Las herramientas de Lazarus podrían haber sido utilizadas como método de propagación de WannaCry, pero esto no está confirmado.
- Código compartido: como Tweeted por Neel Mehta de Google, hay un cierto código compartido entre las herramientas conocidas de Lazarus y el WannaCry ransomware. Symantec ha determinado que este código compartido es una forma de SSL. Esta implementación de SSL utiliza una secuencia específica de 75 cifrados que hasta la fecha sólo han sido vistos a través de herramientas de Lazarus (incluyendo Contopee y Brambul) y variantes WannaCry.
Si bien estos hallazgos no indican un vínculo definitivo entre Lázaro y WannaCry, creemos que existen suficientes conexiones para justificar una investigación ulterior. Seguiremos compartiendo más detalles de nuestra investigación a medida que se desarrolla.
Una nueva cepa virulenta de ransomware conocida como WannaCry (Ransom. WannaCry) ha golpeado a cientos de miles de computadoras en todo el mundo desde su aparición el viernes, 12 de mayo. WannaCry es mucho más peligroso que otros tipos ransomware comunes debido a su capacidad para difundirse a través de la red de una organización mediante la explotación de una vulnerabilidad crítica en los equipos Windows, que fue parcheado por Microsoft en marzo de 2017 (MS17-010). La hazaña, conocida como "eterno azul", fue lanzada en línea en abril en la última de una serie de fugas por un grupo conocido como los corredores de sombra, que afirmaron que había robado los datos de la ecuación del grupo de espionaje cibernético.
¿Estoy protegido de la WannaCry ransomware?
Symantec Endpoint Protection (Sep) y Norton han bloqueado proactivamente cualquier intento de aprovechar la vulnerabilidad utilizada por WannaCry, lo que significa que los clientes estaban completamente protegidos antes de que WannaCry apareciera por primera vez.
La red global de inteligencia (Gin) de Blue Coat proporciona detección automática a todos los productos habilitados para los intentos de infección basados en la Web.
Los clientes de Symantec y Norton se protegen automáticamente frente a WannaCry utilizando una combinación de tecnologías.
La protección proactiva fue proporcionada por:
- Protección basada en redes IPS
- Tecnología de detección de comportamiento sonar
- Aprendizaje avanzado de máquinas
- Nube de amenaza inteligente
- Los clientes deben tener estas tecnologías habilitadas para una protección proactiva completa. Se recomienda a los clientes de Sep migrar a Sep 14 para aprovechar la protección proactiva proporcionada por las firmas de aprendizaje de máquinas.
¿Qué es el WannaCry ransomware?
WannaCry busca y cifra 176 diferentes tipos de archivos y anexa. WCRY hasta el final del nombre del archivo. Pide a los usuarios que paguen un rescate de US$ 300 en bitcoins. La nota de rescate indica que el monto del pago se duplicará después de tres días. Si el pago no se realiza después de siete días, los archivos cifrados se borrarán.
¿Puedo recuperar los archivos encriptados o debo pagar el rescate?
La desencriptación de archivos encriptados no es posible en la actualidad. Si tiene copias de seguridad de archivos afectados, es posible que pueda restaurarlos. Symantec no recomienda pagar el rescate.
En algunos casos, los archivos se pueden recuperar sin backups. Los archivos guardados en el escritorio, mis documentos o en una unidad extraíble están encriptados y sus copias originales se borran. Estos no son recuperables. Los archivos almacenados en otro lugar de un equipo están encriptados y sus copias originales simplemente se eliminan. Esto significa que pueden ser recuperados usando una herramienta de borrado.
¿Cuándo apareció WannaCry y con qué rapidez se extendió?
WannaCry apareció por primera vez el viernes, 12 de mayo. Symantec vio un aumento dramático en el número de intentos de explotar la vulnerabilidad de Windows utilizada por WannaCry de aproximadamente 8:00 GMT en adelante. El número de intentos de explotación bloqueados por Symantec disminuyó ligeramente el sábado y el domingo, pero se mantuvo bastante alto. Los números de explotación aumentaron el lunes, presumiblemente cuando la gente regresó al trabajo después del fin de semana.
¿Quién es impactado?
Cualquier equipo de Windows no parcheado es potencialmente susceptible a WannaCry. Las organizaciones están particularmente en riesgo debido a su capacidad de difusión a través de redes y a un número de organizaciones a nivel global se han afectado, la mayoría de las cuales están en Europa. Sin embargo, los individuos también pueden ser afectados.
¿Es un ataque selectivo?
No, esto no se cree que sea un ataque selectivo en este momento. Las campañas de ransomware son típicamente indiscriminadas.
¿Por qué causa tantos problemas a las organizaciones?
WannaCry tiene la capacidad de difundirse dentro de las redes corporativas sin interacción del usuario, aprovechando una vulnerabilidad conocida en Microsoft Windows. Los equipos que no tienen las últimas actualizaciones de seguridad de Windows aplicadas están en riesgo de infección.
¿Cómo se propaga WannaCry?
Si bien WannaCry puede difundirse en las redes de una organización mediante la explotación de una vulnerabilidad, los medios iniciales de infección — la forma en que el primer equipo de una organización está infectado — sigue sin confirmar. Symantec ha visto algunos casos de WannaCry siendo alojados en sitios Web maliciosos, pero estos parecen ser ataques de imitación, sin relación con los ataques originales.
¿Mucha gente pagó el rescate?
El análisis de las tres direcciones de Bitcoin proporcionadas por los atacantes para el pago del rescate indica que en el momento de la escritura, un total de 31,21 Bitcoin ($53.845) había sido pagado en 207 transacciones separadas.
¿Cuáles son las mejores prácticas para protegerte contra ransomware?
Las nuevas variantes ransomware aparecen regularmente. Siempre mantenga su software de seguridad al día para protegerse contra ellos.
Mantenga su sistema operativo y otro software actualizado. Las actualizaciones de software incluirán frecuentemente parches para vulnerabilidades de seguridad recién descubiertas que podrían ser explotadas por los atacantes de ransomware.
El correo electrónico es uno de los principales métodos de infección. Tenga cuidado con los correos electrónicos inesperados, especialmente si contienen enlaces y/o archivos adjuntos.
Sea extremadamente cauteloso con cualquier accesorio de correo electrónico de Microsoft Office que le aconseje que habilite las macros para ver su contenido. A menos que esté absolutamente seguro de que se trata de un correo electrónico genuino de una fuente de confianza, no habilite las macros y, en su lugar, elimine inmediatamente el correo electrónico.
La copia de seguridad de datos importantes es la única manera más eficaz de combatir la infección ransomware. Los atacantes tienen influencia sobre sus víctimas encriptando archivos valiosos y dejándolos inaccesibles. Si la víctima tiene copias de seguridad, puede restaurar sus archivos una vez que la infección haya sido limpiada. Sin embargo, las organizaciones deben asegurarse de que los backups estén protegidos adecuadamente o almacenados fuera de línea, de modo que los intrusos no puedan eliminarlos.
El uso de Cloud Services podría ayudar a mitigar la infección de ransomware, ya que muchos retienen versiones anteriores de archivos, lo que le permite retroceder al formulario sin cifrar.
