La alerta saltaba esta mañana en España cuando la empresa Telefónica, con sede central en Madrid, era víctima de un ransomware que obligaba a sus trabajadores a apagar los ordenadores de manera urgente. Horas más tarde, el Servicio Nacional de Salud británico (NHS por sus siglas en inglés), ha confirmado el mismo ataque ( al menos 16 hospitales del Reino Unido también han sido blanco) y añade que afecta también a "otras organizaciones de una amplia gama de sectores" y que el virus responde al nombre de "Wanna Decryptor", una variante de Wanna Cry. España, Portugal, Reino Unido y Rusia, entre los afectados.

• Ransomware que aprovecha reciente vulnerabilidad de Windows para propagarse en forma de gusano 
• WCry pide 0,1675 bitcoin para liberar los equipos, lo que al cambio son unos 300 dólares
• Más de 74 países y 57.000 ataques: el ransomware WannaCry se propaga a nivel mundial

El pasado viernes 14 de abril, The Shadow Brokers publicó una gran cantidad de herramientas pertenecientes al arsenal de Equation Group s (sospechosamente vinculado a la NSA). Se puede encontrar dichas herramientas en el repositorio de Github de misterch0c. Las recientes graves vulnerabilidades en Windows bautizada como EternalBlue y DoublePulsar, una de las herramientas utilizadas por la NSA, parece que es el principal vector de ataque.

A diferencia de otros ransomware que utilizan principlamente ataques de phishing con suplantación de identidad para que el usuario se auto infecte, éste nuevo método, usa una vulnerabilidad para propagarse y expandirse.

Contramedidas urgentes:

• 1. Bloqueo 138, 139 y 445 (tanto TCP como UDP) 
• 2. Aplicación urgente del último nivel de parcheo (ms17-010) 
• 3. Firmas AV e IDS
• 4. Protecciones genéricas contra ransomware
• 5. Mutex con nombre MsWinZonesCacheCounterMutexA

Microsoft Windows - 'SrvOs2FeaToNt' SMB Remote Code Execution (MS17-010)
Parche reglas Yara

WanaCrypt0r 2.0 ransomware "Wanna Cry" (WCry/WannaCry)

El ransomware, una versión de WannaCry, infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota a través de SMB - Server Message Block  (MS17-010), se distribuye al resto de máquinas Windows que haya en esa misma red.



Este ransomware cifra todos los ficheros con extensiones "populares", les añade una extensión .WNCRY y además crea un fichero de texto en el disco duro de la víctima llamado @PleaseReadMe@.txt

La aplicación Anti Ransom v3 es capaz de detectar y bloquear la infección.

Probablemente el malware que ha infectado al “paciente 0”, para el caso de las organizaciones,  ha llegado a través de un adjunto, una descarga aprovechando una vulnerabilidad de un ordenador. La versión del malware según los análisis es un WanaCryptor que es una variante de las versiones anteriores de WannaCry.

• https://www.telefonica.com/es/web/sala-de-prensa/-/incidencia-ciberseguridad

La imagen del comunicado tiene fecha del 13/03/2017

 Red de hospitales de Inglaterra afectada también por el ciberataque informático de ransomware

Imagen Wana Decrypt0r 2.0


Una de las muestras de Wana Descrypt0r, aunque casi seguro que todas, elimina las copias de seguridad copias instantáneas del sistema (Shadow Copy) mediante la ejecución del comando: "vssadmin.exe Delete Shadows /All /Quiet" 

cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

El ransomware cifra las extensiones de archivos:

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

Reglas para IDS:

alert tcp $HOME_NET 445 -> any any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response"; flow:from_server,established; content:"|00 00 00 31 ff|SMB|2b 00 00 00 00 98 07 c0|"; depth:16; fast_pattern; content:"|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|"; distance:0; flowbits:isset,ETPRO.ETERNALBLUE; classtype:trojan-activity; sid:2024218; rev:2;)

Idiomas soportados

Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese

• attrib +h .
• icacls . /grant Everyone:F /T /C /Q
• C:\Users\xxx\AppData\Local\Temp\taskdl.exe
• @WanaDecryptor@.exe fi
• 300921484251324.bat
• C:\Users\xxx\AppData\Local\Temp\taskdl.exe
• C:\Users\xxx\AppData\Local\Temp\taskdl.exe

Direcciones .onion C&C

• gx7ekbenv2riucmf.onion
• 57g7spgrzlojinas.onion
• Xxlvbrloxvriy2c5.onion
• 76jdd2ir2embyv47.onion
• cwwnhwhlz52maqm7.onion
• sqjolphimrr7jqw6.onion

Ransomware Overview, extensiones:

• http://www.nyxbone.com/malware/RansomwareOverview.html

También se especula con que los autores del virus están cobrando en estas cuentas BitCoin los pagos:

• https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
• https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
• https://blockchain.info/es/address/1BANTZQqhs6HtMXSZyE2uzud5TJQMDEK3m  
• https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

Muestras, samples, etc

• Free Automated Malware Analysis Service - powered by VxStream Sandbox - Viewing online file analysis results for 'wannacry.exe'  
• Joe Sandbox Cloud Pro - Analysis Report 268923  
•  Wanna Decryptor IOCs - Blueliv community
• Antivirus scan for b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25 at 2017-05-12 15:09:52 UTC - VirusTotal 
• Antivirus scan for ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa at 2017-05-12 15:02:41 UTC - VirusTotal   
• https://www.virustotal.com/en/file/24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c/analysis/
• https://malwr.com/analysis/ODE0OTM1YWE0ZGFhNGQyZWEwZDNkYjFiZmFjOTU0ZTU/
• https://www.hybrid-analysis.com/sample/24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c

Mapas en Vivo de las infecciones

• https://intel.malwaretech.com/WannaCrypt.html
• https://intel.malwaretech.com/botnet/wcrypt
• https://ransomwaretracker.abuse.ch/tracker/
• https://www.nytimes.com/interactive/2017/05/12/world/europe/wannacry-ransomware-map.html?_r=0

Fuentes:
https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-de-ransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html
https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/
https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/
https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168