Una ronda masiva de ataques de ransomware se observó el viernes en todo el mundo. Los atacantes infectaron con éxito grandes instituciones y empresas en unos 150 países , entre ellos Estados Unidos, Reino Unido, España, Rusia, Taiwán, Francia y Japón. El ransomware sólo afecta a los sistemas operativos Microsoft Windows. Entre las víctimas infectadas hay un gran número de estaciones de trabajo en los hospitales del Servicio Nacional de Salud del Reino Unido (NHS). Europol afirma que el ataque de ransomware, llamado WannaCry, está en un “nivel sin precedentes”, y requiere investigación internacional.
“La versión más reciente de esta variante de ransomware, conocida como WannaCry, WCry o Wanna Decryptor, fue descubierta en la mañana del 12 de mayo de 2017 por un investigador de seguridad independiente y se ha extendido rápidamente durante varias horas. AM EDT, 12 de mayo de 2017. Los informes de código abierto indican un pedido de rescate de .1781 bitcoins, aproximadamente US $ 300 US “.
El NHS reconoció los ataques del viernes “, como a las 15.30, 16 organizaciones del NHS habían informado de que se vieron afectados por este problema”. En una declaración actualizada el sábado, la organización dijo que no había recibido informes de los datos de los pacientes se vean comprometidos.
Otras víctimas reportadas son la multinacional española de telefonía móvil y telecomunicaciones Telefónica, la multinacional estadounidense de servicios de mensajería FedEx y las universidades de China.
El culpable es una nueva variante, v2.0, de la familia Ransom.CryptXXX de ransomware, que se detecta como Ransom.Wannacry y también se conoce como Wcry o WanaCrypt0r ransomware, afirma la compañía estadounidense de software Symantec. Fue detectado temprano el viernes por el investigador independiente de seguridad MalwareHunter.
La versión 1.0 de este ransomware fue descubierta por el investigador Malwarebytes S! Ri el 10 de febrero. Microsoft lanzó una actualización de seguridad en marzo, que aborda la vulnerabilidad que estos ataques están explotando. “Los que tienen Windows Update habilitado están protegidos contra los ataques a esta vulnerabilidad”, afirmó la empresa el viernes.
Después de los ataques del viernes, Microsoft proporcionó actualizaciones de seguridad para proteger las plataformas Windows que están en soporte personalizado, incluidos Windows XP, Windows 8 y Windows Server 2003. La compañía agregó que los clientes que ejecutaban Windows 10 no fueron atacados por el ataque.
En su declaración del sábado, el NHS escribió que la razón por la cual algunos de sus sistemas no se actualizaron “puede ser debido a que algunos equipos caros (como los escáneres de MRI) no pueden actualizarse inmediatamente”. Aislando el dispositivo de la red principal.
“El código de explotación utilizado por WannaCrypt fue diseñado para funcionar sólo contra los sistemas Windows 7 y Windows Server 2008 (o sistemas operativos anteriores) sin parches, por lo que las PC con Windows 10 no se ven afectadas por este ataque”.
El ransomware presenta un archivo de texto que requiere $ 300 de bitcoin, sin otras opciones de pago. El mensaje proporciona instrucciones para pagar el rescate, e inicia un temporizador de cuenta regresiva. La víctima tiene 3 días para pagar antes de que el rescate se duplique. Si el rescate no se paga en 7 días, los archivos serán permanentemente irrecuperables.
Según Microsoft, el mensaje está localizado en 28 idiomas; Búlgaro, chino (simplificado), chino (tradicional), croata, checo, danés, holandés, inglés, filipino, finlandés, francés, alemán, griego, indonesio, italiano, japonés, coreano, letón, noruego, polaco, Ruso, eslovaco, español, sueco, turco y vietnamita.
Se informó que tres direcciones bitcoin han sido utilizadas por la última versión de WannaCry. A pesar de las decenas de miles de computadoras infectadas en todo el mundo, todas las demandas de $ 300 hasta ahora, sólo un poco más de $ 36.000 dólares ha sido enviada a los atacantes.
Direcciones de WannaCry V2.0:
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 tuvo 47 transacciones por valor de más de 6,7 bitcoins, o ~ US $ 12,000.
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw tenía 50 transacciones con un valor de casi 9 bitcoins, o ~ US $ 16.000.
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn tuvo 39 transacciones con un valor de casi 4,7 bitcoins, o ~ US $ 8.300.
“Sin embargo, eso podría ir bien”, dice Troy Hunt, Director Regional de Microsoft, quien ha examinado el ataque en profundidad. “Sin importar el interruptor de la matanza, muchas máquinas permanecen infectadas y si hay una ventana de pago de 3 días antes de que el coste se intensifique, usted esperaría a mucha gente guardar para un pedacito. Será interesante mirar esas direcciones de Bitcoin en otras 48 horas. ”
Jonathan Levin, un cofundador de la cadena de bloqueos de iniciación forense Chainalysis investigó las direcciones y los vinculó a direcciones en muchos intercambios de Bitcoin diferentes, presumiblemente donde las víctimas compraron sus pagos de rescate. De los 30+ intercambios encontró Chainalysis, favorito ruso BTC-E fue el intercambio más utilizado para comprar las monedas que se sientan en las tres direcciones de hoy.
Cuando se le preguntó cuál fue el país más afectado por los recientes ataques, Levin le dijo a Quartz : “Si nos fijamos en las tasas de infección, muchas de ellas están en Rusia, por lo que [los datos] están complementando eso. Dado que sabemos que las infecciones también están en Rusia, diría que son usuarios rusos “.
El equipo mundial de investigación y análisis de Kaspersky Lab está de acuerdo . “Hemos registrado más de 45.000 ataques del ransomware de WannaCry en 74 países de todo el mundo, sobre todo en Rusia”, declararon los investigadores. Un gráfico en su página web muestra que más del 70 por ciento de las víctimas del brote, según lo descubierto por su equipo, están en Rusia, con otro cinco por ciento en Ucrania.
Microsoft explicó que la amenaza de ransomware se propagó tan rápidamente como también es un gusano . Este tipo de malware infecta una computadora y busca otras computadoras conectadas para propagarse. Este gusano en particular fue desarrollado por la NSA, parte de la infame subasta de armas cibernéticas Shadowbrokers.
Estos vectores de ataque de software suelen ser dirigidos por ingeniería social o correo electrónico, dependiendo de que los usuarios descarguen y ejecuten una carga útil malintencionada. Al llamar a WannaCry como un “caso único”, Microsoft explicó que este ransomware “incorporaba el código de explotación disponible públicamente para la vulnerabilidad SMTP EternalBlue”.
El exploit Eternal Blue de NSA permite que el ransomware se propague a través de las redes de ordenadores a través de una vulnerabilidad en los sistemas de uso compartido de archivos de Windows. Esto explica por qué WannaCry se ha extendido rápidamente saltando entre las organizaciones vinculadas que pueden tener acuerdos de intercambio de archivos establecidos con fines comerciales.
“Lo que hace peligroso a Wannacry es que los atacantes están aprovechando una hazaña de Windows desarrollada por NSA llamada EternalBlue, y supuestamente filtrada y descartada por el grupo de hackers de Shadow Brokers hace más de un mes. Desde entonces, se ha extendido rápidamente en todo el mundo afectando a miles de sistemas en más de 100 países “.
Poco después del ataque del viernes, un investigador de ciberseguridad del Reino Unido que trabajaba para MalwareTech pudo detener la propagación de este ransomware registrando un dominio que encontró codificado en el programa. Sin embargo, señaló que “nuestro sinkholing sólo detiene esta muestra y no hay nada que les impida la eliminación de la comprobación de dominio y volver a intentarlo, por lo que es muy importante que todos los sistemas sin parches se corrigen lo más rápidamente posible”.
El sábado, el Equipo de Respuesta a Incidentes de Seguridad Informática del Centro Criptológico Nacional (CCN-CERT) anunció que han desarrollado una herramienta para prevenir la infección por el ransomware de WannaCry 2.0.
La “CCN-CERT NoMoreCry Tool” está disponible para todas las organizaciones que necesitan usarlo, anunció CCN-CERT. “Se crea un mutex (algoritmo de exclusión mutua) en el equipo que impide la ejecución del código malicioso WannaCry 2.0”, explicó la organización. Esta herramienta funciona en todas las versiones de Windows y se debe ejecutar después de cada reinicio, aconsejaron, agregando que puede ser automatizado mediante la modificación con el registro de Windows. Sin embargo, señalan que la herramienta no está destinada a limpiar las máquinas comprometidas.
[divider]
Fuente: Bravenewcoin
[divider]
Apoya CryptoDivisas.net y ayudanos a construir una red informativa consistente y confiable,
tu donativo hace la diferencia 1BakshKrfMnVSMZsfgvyT9Eu4UrG3VSjhY
