FireEye detalla la campaña WannaCry de Ransomware, su amenaza y manejo de riesgos

FireEye detalla la campaña WannaCry de Ransomware, su amenaza y manejo de riesgos
El malware está adjunto en archivos de datos encriptados con la extensión .WCRY.

El malware WannaCry es un ransomware auto-propagable que se esparce a través de redes internas y en el internet público explotando una vulnerabilidad en el protocolo Microsoft Server Message Block (SMB).

FireEye informó que desde el pasado 12 de mayo del 2017, una altamente prolífica campaña de ransomware “WannaCry” se ha observado impactando organizaciones globalmente.

El malware está adjunto en archivos de datos encriptados con la extensión .WCRY, descarga y ejecuta una herramienta desencriptadora, y demanda entre $300 y $600 dólares vía Bitcoin para desencriptar la información. El malware utiliza canales Tor encriptados para las comunicaciones de comando y control (C2).

Basado en nuestros análisis, los binarios maliciosos asociados con las actividades de WannaCry tienen dos componentes principales, uno que provee la funcionalidad ransomware (actuando de manera muy similar a las muestras de malware WannaCry reportadas antes del 12 de mayo) y un componente usado para propagación, que contiene una función para permitir las capacidades de explotación de búsqueda y SMB.

Dada la rápida y prolífica distribución de este ransomware, FireEye iSIGHT Intelligence considera que esta actividad es un riesgo significativo para todas las organizaciones utilizando equipos Windows potencialmente vulnerables.

Vector de Infección

WannaCry explota una vulnerabilidad de Windows SMB para permitir la propagación después de establecerse y afianzarse en el ambiente. Este mecanismo de propagación puede distribuir el malware tanto dentro de la red comprometida como sobre el internet público.

El exploit utilizado tiene el código “EternalBlue” y se fugó de ShadowBrokers. La vulnerabilidad de explotación fue parchada en Microsoft MS17-010.

Basado en nuestro análisis, el malware engendra dos amenazas, la primera enumera los adaptadores de red y determina en cuáles subredes está el sistema. El malware genera entonces una amenaza para cada IP en la subred.

Cada una de estas amenazas intenta conectar la IP en el puerto 445 de TCP, si tiene éxito intenta explotar el sistema. Un ejemplo de un intento de explotar un sistema remoto se puede ver a continuación:

Tráfico de red de WannaCry intentado una explosión SMB. En respuesta al uso de esta vulnerabilidad explotada, Microsoft ha provisto estos pasos específicos de gestión de riesgos para WannaCry.

Mientras el ransomware WannaCry se ha extendido principalmente a través de explosiones SMB, sus operadores pueden estar usando otros métodos de distribución. Los primeros reportes sugerían que WannaCry se extendió a través de links maliciosos en mensajes spam, sin embargo, FireEye no ha podido corroborar la información de ninguno de nuestros investigadores hasta la fecha.

A pesar del vector de infección original, los operadores de WannaCry pueden adoptar cualquier mecanismo de entrega común a la actividad de ransomware, como documentos maliciosos, malvertising o comprometiendo sitios de alto tráfico.

A la luz del alto impacto de esta campaña y la incertidumbre de los primeros vectores de distribución, las organizaciones deben considerar cualquier vector común de entrega de malware como una fuente potencial de infección de WannaCry.

Características del Malware

Cada una de las variants WannaCry identificadas hasta ahora (que tienen funcionalidad tipo gusano) incluyen un killswitch que muchos investigadores de seguridad han usado para prevenir que el malware encripte archivos. Sin embargo, los operadores pueden eliminar o modificar esta característica como se demuestra en el surgimiento de múltiples variantes con un nuevo dominio.

  • Una vez infectada la máquina de la víctima, el paquete WannaCry que comenzó a extenderse el 12 de mayo intenta contactar a www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. Si el malware tiene éxito en llegar a este dominio, basado en las pruebas de FireEye, no hace la encriptación o auto-propagación (algunas organizaciones han reportado que el malware continuará su auto-propagación en este caso, pero no hemos confirmado este comportamiento en ambientes de prueba). Este dominio fue registrado por un profesional de la seguridad el 12 de mayo, aparentemente detuvo el comportamiento de encriptación para muchas infecciones. Los desarrolladores de WannaCry pueden haber previsto esta función de killswitch para funcionar como medida de análisis anti-sandbox.
  • El 14 de mayo una variante surgió con un nuevo killswitch con el dominio www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. Este dominio también estaba insertado, ostensiblemente causando que el comportamiento del killswitch para deshabilitar cualquier infección de WannaCry que contactara el dominio. No está claro si este cambio en el dominio de contacto fue implementado por los distribuidores originales o un tercero modificando las muestras distribuidas.
  • También el 14 de mayo se identificó una nueva variante que no contiene el dominio de contacto para la función killswitch. Sin embargo, este cambio pudo haber sido implementado por un tercero después de que el malware fue compilado, en vez de los operadores. El componente ransomware de esta variante aparece corrompido y no funciona en ambientes de pruebas.
  • El 15 de mayo observamos al menos dos nuevos dominios killswitch siendo usados por variantes de WannaCry: ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf[.]com (este dominio concuerda con el formato de los dominios asociados con WannaCry, pero no se ha ligado claramente a alguna muestra específica; las organizaciones desean mantener vigilado este dominio para el caso de que se asocie con actividad de WannaCry). Y iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. Estos dominios también están insertados, de nuevo no tenemos visibilidad de si estos cambios fueron implementados por los distribuidores originales o un tercero modificando muestras distribuidas.

Atribución

En este momento muchos escenarios de atribuciones potenciales de la actividad de WannaCry son viables. Continuamos investigando todos los escenarios potenciales.

Los ciber-criminales con motivaciones financieras son típicamente responsables de las operaciones de ransomware con muchos actores operando independientemente alrededor del mundo. Sin embargo, hasta ahora ninguno de estos actores ha sido identificado como un fuerte candidato para atribuírsele la operación de WannaCry.

Algunos aspectos de la operación WannaCry sugieren que los operadores no son muy sofisticados y pueden no haber anticipado que el malware se extendería tanto como lo hizo. Uno de estos aspectos es la mencionada función killswitch.

Los desarrolladores de malware sofisticado y con experiencia en combatir contramedidas de seguridad podrían haber anticipado que esta función sería una amenaza para el éxito del malware.

Otro aspecto es que se ha reportado que los pagos de rescate identificados son relativamente bajos hasta ahora, sugiriendo que los operadores del sistema de pagos no estaban equipados para manejar la consecuencia lógica de las infección alrededor del mundo.

Numerosos reportes de open-source afirman el potencial involucramiento de Corea del Norte en esta campaña. Basados en el análisis inicial de FireEye, la similitud de los códigos citados entre el malware ligado a Corea del Norte y WannaCry constituyen una pista potencial que merece ser investigada, pero no son suficientemente únicos, independientemente de otras evidencias que sean claramente indicativas de operadores comúnes.

Impacto

A pesar de los informes alentadores de la disminución de la actividad de las amenazas, WannaCry sigue siendo un riesgo significativo. Dados los efectivos mecanismos de propagación de este malware, virtualmente cualquier organización que no haya aplicado las recomendaciones de Microsoft para mitigar los mecanismos, tiene un riesgo potencial en los intentos de propagación de WannaCry.

Más aún, el surgimiento de nuevas variantes demuestra que los operadores pueden remover la función killswitch de WannaCry si lo desean, o modificarla significativamente para evitar las contramedidas tomadas hasta ahora. Los reportes públicos demuestran que los incidentes asociados con la familia de ransomware WannaCry han ocurrido en muchos países.

Gestión de Riesgos

Las organizaciones que buscan protegerse de esta amenaza deben leer el Microsoft’s blog on addressing the associated SMB exploitation.

La rápida y prolífica distribución de este ransomware ha generado rápidas y proactivas actualizaciones al portafolio completo de FireEye de tecnologías de detección, análisis de inteligencia de amenazas y servicios de recomendación y consultoría.

Los productos de red, email y endpoint de FireEye tienen capacidades de detección de ransomware que pueden ubicar proactivamente y, si se despliega en-línea o con el Exploit Guard activado, bloquear nuevo ransomware incluyendo a WannaCry, distribuido a lo largo de vectores de la red y de infección de emails.

Los operadores de WannaCry pueden aprovechar este mecanismo popular de entrega en cualquier momento. Si esto ocurre, los clientes de productos FireEye serán avisados con las siguientes alertas:

  • HX: WMIC SHADOWCOPY DELETE, WANNACRY RANSOMWARE, *Ransom.WannaCryptor.*, or Trojan.Generic*. Exploit Guard and Anti-Virus alert names will depend on delivery mechanism and variants.
  • NX/EX: Malware.Binary.exe, Trojan.Ransomware.MVX, Ransomware.Wcry.*, FE_Ransomware_WannaCry.*, Trojan.SinkholeMalware, or Malicious.URL
  • EX only: Phish.URL or FE_EMAIL_MALICIOUS_EXM_*
  • TAP: WANNACRY RANSOMWARE

Los productos FireEye también detectan actividades posteriores de WannaCry, como el comando y control de las comunicaciones e indicadores de host para infecciones WannaCry existentes.

Adicionalmente los sensores FireEye PX (Network Forensics) se despliegan  internamente y son monitoreados por FireEye as a Service (FaaS), pueden detectar tráfico de propagación SMB.

Los clientes pueden aprovechar los indicadores confirmados para cazar posibles infecciones. Estos indicadores se han desplegado a los clientes de FireEye HX (Endpoint) y están disponibles en el portal de inteligencia MySIGHT para los clientes suscritos a iSIGHT.

Los proxis de red y otras características de seguridad para redes de empresas pueden prevenir que el malware contacte su dominio killswitch e inadvertidamente desencadenen la encriptación. Las organizaciones pueden desear ajustar las configuraciones de su proxy u otras configuraciones de red para evitar este problema.

Adicionalmente, las organizaciones pueden aprovechar los siguientes indicadores de compromiso para identificar potenciales actividades relacionadas. Esto se obtuvo durante los análisis preliminares de muestras asociadas y se continúa investigando.

Ultimas Noticias

Dejar su comentario sobre esta nota

Su direccion de correo no se publica. Los datos obligatorios se encuentran identificados con un asterisco (*)