May 13
Please insert a Quote

Ransomware WanaCry Attack 2017

Apreciados clientes,

Informes en línea indican de un nuevo brote de WannaCry aka. variante de ransomware de WCry. Bleeping Computer informó que la variante 2.0 del malware fue detectado desde el viernes pasado durante una campaña de distribución masiva. El vector de distribución principal de esta campaña no es 100% conocido por el momento. Se cree que Malvertising (Código malicioso dentro de la publicidad en linea), Exploit Kits y correo electrónico de spam – todos podrían ser parte del vector de la infección. Los investigadores también indican que el malware está dirigido a usuarios de múltiples países de todo el mundo (unos 75 países), principalmente en España, Taiwán, Rusia, Turquía y otros.

Sabemos que esta amenaza explota una vulnerabilidad de varios sistemas operativos Microsoft Windows para propagarse. Esta vulnerabilidad fue descubierta el pasado 14 de marzo de 2017 y se detalla en el siguiente boletín de Microsoft: Https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Por lo que una de las principales recomendaciones es mantener nuestros sistemas parchados al día.

Debajo algunas informaciones de interés brindada por Symantec para la detención de la nueva variante:


Symantec Detection Coverage:
Ransom.CryptXXX

El Hash para reconocer la amenaza:

MD5    7bf2b57f2a205768755c07f238fb32cc

SHA-256 2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41dd

MD5    84c82835a5d21bbcf75a61706d8ab549

SHA-256 ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa


IPs Ofensivas:

197.231.221.211:9001

128.31.0.39:9191

149.202.160.69:9001

46.101.166.19:9090

91.121.65.179:9001

Otras acciones de prevención pueden ser accionados mediante:

1- Bloqueo del hash ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa utilizando políticas de control de dispositivos y aplicaciones

2- Aplicación de la política de prevención https://www.symantec.com/connect/articles/preventing-powershell-running-office

Para aquellos clientes que poseen Symantec Endpoint Protección, estamos adjuntando una muestra de política ADC (Application and Device Control) para evitar la creación de extensiones de archivo relacionadas – wncry, wnry, wry, wcryt, wry – y el bloqueo de los hashes anteriores. Para los que no poseen el sistema de seguridad de Endpoint de Symantec pueden crear reglas de bloqueo de aplicaciones utilizando la solución de Endpoint Protection disponible en la empresa.

Referencias e informaciones adicionales:

Support Perspective: W97M.Downloader Battle Plan

Hardening Your Environment Against Ransomware

Special Report: Ransomware and Businesses 2016

 

Información adicional:

Más información sobre hash:

MD5 84c82835a5d21bbcf75a61706d8ab549

SHA-1 5ff465afaabcbf0150d1a3ab2c2e74f3a4426467

SHA-256 ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa

Además, la amenaza se construye con extensión: .WNCRY. Así que puede utilizar ADC (Application and Device Control) para bloquear la creación de archivos como este.

Algunas soluciones que pueden ayudar de manera pro-activa a protegerse contra amenazas avanzadas como las de ransomware:

  • Symantec ATP: Uncover the stealthiest threats that would otherwise evade detection.
    • Best detection and accuracy in protecting against advanced persistent threats
    • Identify whether your organization is under targeted attacks and automatically search for Indicators-of-Compromise with Dynamic Adversary Intelligence
    • Detect and investigate suspicious events via unique sandboxing and payload detonation capability
    • Provides in-depth threat visibility across IT environments in one place, without requiring any manual searching
    • Instant search for Indicators-of-Compromise and visualize all related events of an attack, e.g. all files used in an attack, email addresses and malicious IP addresses involved
    • Click once to remediate any attack artifact everywhere across Symantec-protected endpoint, network, email, and web traffic
    • Quickly isolate any compromised system from the enterprise network
  • Imperva SecureSphere File Firewall: Imperva has announced the release of Imperva SecureSphere File Firewall v12 with real-time deception technology designed to detect ransomware and to prevent it from encrypting enterprise data. The Imperva deception technology adds decoy files to network file shares, luring hackers to strike there first so they can be neutralized before encrypting critical data”

Leer más:

http://www.itsecurityguru.org/2017/02/15/imperva-detects-protects-ransomware-introduction-securesphere-v12/

https://www.imperva.com/Products/FileSecurity

About The Author