Recomendaciones y medidas a adoptar frente al ransomware WannaCry

Fortinet, compañía líder en soluciones de ciberseguridad de alto rendimiento, ha hecho públicas las siguientes declaraciones con respecto al ciberataque del ransomware WannaCry.

Para Derek Manky, Global Security Strategist en Fortinet: “El ransomware WannaCry aprovecha una `vulnerabilidad de oro´ para perpetrar su ataque. Combina un vector de ataque altamente vulnerable, en este caso sistemas que utilizaban el servicio de intercambio de archivos SMB de Microsoft que no habían sido parcheados, con una poderosa carga explosiva, un gusano de red ransomware que se extiende sin freno a través de esta vulnerable superficie de ataque. Más allá de la recomendación de realizar las actualizaciones pertinentes, definitivamente estamos ante una nueva e importante llamada de atención para la industria. Las organizaciones necesitan ser proactivas con una estrategia de seguridad integrada y automatizada que responda a la velocidad y escala requeridas para enfrentarse al rápido movimiento y cambio de los gusanos. En este caso, también cabe preguntarse, ¿y si hubiera llevado una carga como BrickerBot con capacidad para transformar los dispositivos en pisapapeles, sin interruptor de matar?”

Recomendaciones de Fortinet:

•         Aplicar el parche publicado por Microsoft en todos los dispositivos de la red.

•         Asegurarse de que los motores de inspección AV e IPS de Fortinet, así como el filtrado Web están habilitados para prevenir que el malware sea descargado y asegurar que nuestro filtrado web está bloqueando las comunicaciones con los servidores de comando y control.

•         Aislar las comunicaciones con los puertos UDP 137 /138 y TCP 139/445 dentro de la red.

De forma preventiva, recomendamos a los usuarios y las organizaciones tomar las siguientes medidas:

•    Establecer una rutina para aplicar los parches del Sistema Operativo, el Software y el Firmware de todos los dispositivos. Para las grandes organizaciones con grandes cantidades de dispositivos, considerar la utilización de un sistema de gestión de parches centralizado.

•    Implementar tecnologías Antivirus, IPS y filtrado web y mantenerlas actualizadas.

•    Realizar copias de seguridad de forma regular. Verificar la integridad de estas copias, cifrarlas y realizar pruebas de restauración de estas para asegurar que son perfectamente funcionales.

•    Inspeccionar todos los mensajes de correo electrónico entrantes y salientes para detectar amenazas y filtrar ficheros ejecutables para evitar que lleguen a los usuarios.

•    Programar verificaciones automáticas regulares en los sistemas antivirus y antimalware.

•    Deshabilitar macros y scripts en los ficheros que se envían por correo. Considerar la utilización de Office Viewer para abrir ficheros adjuntos de Microsoft Office en lugar de abrirlos directamente con la propia aplicación Microsoft Office.

•    Establecer una estrategia de continuidad de negocio y de respuesta ante incidentes, así como realizar análisis de vulnerabilidades de forma regular.

Qué hacer si su organización ha sido afectada por este ransomware:

•    Aislar inmediatamente los dispositivos infectados, desconectándolos de la red tan pronto como sea posible para evitar la propagación del ransomware a través de la red o a través de carpetas compartidas.

•    Si la red está infectada, desconectar inmediatamente los dispositivos conectados.

•    Apagar los dispositivos que no estén completamente corruptos. Esto debería proporcionar tiempo para limpiarlos y recuperar datos, contener los daños y evitar que las condiciones empeoren.

•    Las copias de seguridad se deberían almacenar offline. Cuando se detecta una infección, desconectar los sistemas de copia de seguridad de la red así como inspeccionar estas copias para verificar que no contienen malware.

•    Contactar con las autoridades inmediatamente para reportar cualquier evento de ransomware y solicitar asistencia.

Es importante recordar que las soluciones de Fortinet bloquean este ataque:

1. FortiGate IPS plugs the exploit

2. FortiSandbox detecta el comportamiento malicioso

3. El motor antivirus de Fortinet detecta el malware y sus distintas variantes

4. El filtrado web identifica los sitios que son objetivo del ataque y los bloquea

5. El firewall FortiGate ISFW paraliza la expansión del malware

Este malware, que se comporta como un gusano, se introduce a través del puerto 445 del servidor SMBv1 de la red local LAN y busca Backdoor. Double.Pulsar. Si existe esa puerta trasera, el malware se ejecuta a través de este canal. Si no, entra por una ruta de exploit menos fiable.

Por esta razón, recomendamos a todas las organizaciones bloquear el puerto 445 desde internet, o utilizando las capacidades de su NGFW para bloquear el protocolo SMB.

El malware es modular, es decir, podría conceder importantes privilegios en el dispositivo infectado a los ciberdelicuentes, lo que les permitiría descargar malware adicional y URL falsas. En un caso observado por Fortinet, el malware primero aprovechó la vulnerabilidad CVE-2017-0144 para obtener acceso al sistema. Después de eso, como con un cuentagotas fue descargando el ransomware que cifraba los archivos.

Esta vulnerabilidad se produce debido a un desbordamiento al analizar una solicitud Trans2 malformada en el servidor SMBv1. El exploit hace que el código se ejecute en el contexto de la aplicación. No hay necesidad de autenticación para que se produzca este exploit, lo cual ha sido determinante para su rápida expansión en redes locales.