915 792 426 - 689 888 537

Blog

ACTUALIDAD
wannacrypt-ransomware
15 Jun 2017

WannaCry, el ransomware en un ataque global

Lo que sabemos del ransomware WannaCrypt y el ataque global

¿Quién a estas alturas no conoce este ransomware Ransom:Win32/WannaCrypt?

La noticia de que un ransomware, WannaCrypt, había penetrado en la red interna de Telefónica junto a otras grandes empresas españolas y mostraban una imagen del típico mensaje que muestra un ransomware pidiendo cierto dinero para el rescate de los archivos, en concreto, 300USD en bitcoin se propago en la red a un nivel instantáneo.

Horas más tardes aparecían noticias de que este mismo virus estaba infectando algunos hospitales en UK. Por lo que el ataque ya no sería únicamente en España, sino que se estaba extendiendo hasta el punto de afectar unos cuantos países. Uno de los ataques más rápidos en cuanto a propagación y masivos que estos ojos hayan visto. Actualmente se confirma que el virus afecta a 74 países alrededor del mundo.

 

Por aquí os dejo un mapa de los ataques, que van disminuyendo poco a poco gracias al denominado héroe anónimo @MalwareTechLab que resulta que ha registrado un dominio que ‘para’ la infección, o en un principio se cree eso en primera instancia. También nos deja un mapa del tráfico que está dejando su dominio:

trafico-wannacrypt

Según algunas fuentes, este tráfico esta desviado a un punto donde las autoridades puedan analizarlo.

 

ACTUALIZACION: Parece que esto no ha parado del todo el ataque debido a que solo evita que las conexiones directas con el dominio desactiven el malware. Es decir, los equipos que usen proxy para salir a internet seguirán siendo infectados, que son la mayoría en las grandes empresas.

 

¿Muchos datos verdad?, vamos a ir parte por parte. Para ello voy a partir por el resumen de un artículo de Microsoft que explica muy bien (y en inglés) el funcionamiento del malware y los vectores de ataque que utiliza.

malware-wannacrypt

Lo primero y más importante es recordar cual es la actualización que resuelve este agujero de seguridad en sistemas Windows, ya que sin esta update corréis cierto de riesgo de ‘contagiaros’ de este ransomware ->  MS17-010.

Dejando las recomendaciones y curiosidades comencemos con la parte interesante (o al menos la que más interesante me resulta a mi).

proceso-wannacrypt

Vectores de ataque

Como bien comentan en Microsoft, un virus de este tipo (ransomware en Wikipedia) no se reproduce tan rápidamente como lo ha hecho este, ¿a qué se debe esto?. El principal vector de este virus como suele ser en todos los de esta clase y demás clases es ingeniería social. Una sucesión de emails engañosos para que una víctima descargue y ejecute el regalito pensando que es una factura de su banco, o un seguimiento de un paquete de correos, o cualquier otra cosa que engañe al usuario con tal de alcanzar ese objetivo de infección.

Una vez infectada la máquina objetivo, WannaCrypt posee un servicio incorporado que se dedica a buscar máquinas infectadas con la vulnerabilidad SMB EternalBlue y otra serie de exploits públicos conocidos a través del protocolo SMB, que nada más y nada menos, fue liberada con la filtración de exploits de la NSA que usaban como arma de ciberseguridad. Microsoft se puso las pilas y arregló el problema en el boletín de seguridad MS17-010 pero, como es lógico y comprensible, algunos equipos no se han actualizado y WannaCrypt se ha expandido a una velocidad increíble gracias a ello.

WannaCrypt en este sentido se comporta como un gusano utilizando estos exploits para propagarse. Según el artículo de Microsoft, solo máquinas Windows 7 y Windows Server 2008 han sido infectadas, es decir, que Windows 10 se salva de esta propagación (o al menos eso aseguran). Y digo de la propagación, porque si a una maquina Windows le llega un email sospechoso y ejecuta cualquier adjunto, de igual manera WannaCrypt secuestrará tus archivos.

Sin embargo, en un comunicado de Chema Alonso (@chemaalonso) nos muestra que el virus afecta a más máquinas, si es cierto que no hace referencia a sus distintos módulos de propagación / secuestro.

comunicado-chema-alonso-ataque-wannacrypt

Estamos ante un Dropper

Dejemos la definición de Wikipedia para para este tipo de virus:

Un dropper es un programa (componente de malware) que se ha diseñado para “instalar” algún tipo de malware (virus, backdoors, etc.) a un sistema de destino. El código malicioso puede ser contenido dentro del dropper (una sola etapa) en ya disponible como una manera de evitar ser detectados por los programas antivirus o el dropper se puede descargar el programa viral en la máquina de destino una vez activado (en dos etapas). Puede dañar tu equipo si no lo eliminas. El virus dropper puede ser utilizado para robarte tu identidad o para dañar el rendimiento de tu PC.

Y Microsoft clasifica a WannaCrypt como este tipo/clase de malware. Estos son sus dos componentes:

  1. Un componente que busca e intenta explotar la vulnerabilidad EternalBlue mencionada anteriormente
  2. Ransomware conocido como WannaCrypt

Este dropper intenta la conexión al siguiente dominio con la API InternetOpenUrlA():

hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

Si la conexión es satisfactoria el malware no afecta al equipo, es decir, ni ejecutará el ransomware para encriptar archivos ni intentará propagarse por la red, de igual forma, si la conexión con este dominio falla, comenzará todo a funcionar, ejecutará en randsomware y pondrá en ejecución el servicio para propagarse.

dropper-wannacrypt

Aquí entra nuestro héroe anónimo, @MalwareTechLab, que ha registrado el dominio por 10€ y en principio ha parado la propagación del virus.

El Dropper crea un servicio llamado mssecsvc2.0 cuya función es explotar la vulnerabilidad SMB en la red donde se encuentra el equipo.

Service Name: mssecsvc2.0
Service Description: (Microsoft Security Center (2.0) Service)
Service Parameters: “-m security”

 

ataque-wannacrypt

El ransomware WannaCrypt

El componente o módulo de ransomware es un dropper que contiene un archivo protegido con contraseña dentro de sus recursos. La rutina de encriptado de documentos y los archivos en el -zip contiene herramientas de soporte, una herramienta de desencriptado y el mensaje que muestra el ransomware. En los archivos analizados por Microsoft la contraseña del archivo .zip es “WNcry@2ol7”. Información muy muy útil.

Cuando el virus se ejecuta, éste crea un par de claves en el registro:

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\<random string> = “<directorio funcionamiento malware>\tasksche.exe”
  • HKLM\SOFTWARE\WanaCrypt0r\\wd = “<directorio funcionamiento malware>”

Nos modifica el fondo de escritorio con un mensaje mediante la modificación de esta clave de registro:

  • HKCU\Control Panel\Desktop\Wallpaper: “<directorio funcionamiento malware>\@WanaDecryptor@.bmp”

Y crea estos archivos en el directorio de funcionamiento del virus:

  • 00000000.eky
  • 00000000.pky
  • 00000000.res
  • 274901494632976.bat
  • @Please_Read_Me@.txt
  • @WanaDecryptor@.bmp
  • @WanaDecryptor@.exe
  • b.wnry
  • c.wnry
  • f.wnry
  • m.vbs
  • msg\m_bulgarian.wnry
  • msg\m_chinese (simplified).wnry
  • msg\m_chinese (traditional).wnry
  • msg\m_croatian.wnry
  • msg\m_czech.wnry
  • msg\m_danish.wnry
  • msg\m_dutch.wnry
  • msg\m_english.wnry
  • msg\m_filipino.wnry
  • msg\m_finnish.wnry
  • msg\m_french.wnry
  • msg\m_german.wnry
  • msg\m_greek.wnry
  • msg\m_indonesian.wnry
  • msg\m_italian.wnry
  • msg\m_japanese.wnry
  • msg\m_korean.wnry
  • msg\m_latvian.wnry
  • msg\m_norwegian.wnry
  • msg\m_polish.wnry
  • msg\m_portuguese.wnry
  • msg\m_romanian.wnry
  • msg\m_russian.wnry
  • msg\m_slovak.wnry
  • msg\m_spanish.wnry
  • msg\m_swedish.wnry
  • msg\m_turkish.wnry
  • msg\m_vietnamese.wnry
  • r.wnry
  • s.wnry
  • t.wnry
  • TaskData\Tor\libeay32.dll
  • TaskData\Tor\libevent-2-0-5.dll
  • TaskData\Tor\libevent_core-2-0-5.dll
  • TaskData\Tor\libevent_extra-2-0-5.dll
  • TaskData\Tor\libgcc_s_sjlj-1.dll
  • TaskData\Tor\libssp-0.dll
  • TaskData\Tor\ssleay32.dll
  • TaskData\Tor\taskhsvc.exe
  • TaskData\Tor\tor.exe
  • TaskData\Tor\zlib1.dll
  • taskdl.exe
  • taskse.exe
  • u.wnry

Y también nos crea estos archivos en diferentes directorios:

  • %SystemRoot%\tasksche.exe
  • %SystemDrive%\intel\<random directory name>\tasksche.exe
  • %ProgramData%\<random directory name>\tasksche.exe

Nos genera un servicio con nombre aleatorio que tiene el siguiente ImagePath: “cmd.exe /c “<directorio funcionamiento malware>\tasksche.exe””

Este servicio se encarga de buscar archivos para encriptarlos con las siguientes extensiones: .123, .jpeg , .rb , .602 , .jpg , .rtf , .doc , .js , .sch , .3dm , .jsp , .sh , .3ds , .key , .sldm , .3g2 , .lay , .sldm , .3gp , .lay6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .max , .sql , .ARC , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .mid , .stc , .asm , .mkv , .std , .asp , .mml , .sti , .avi , .mov , .stw , .backup , .mp3 , .suo , .bak , .mp4 , .svg , .bat , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .msg , .sxd , .bz2 , .myd , .sxi , .c , .myi , .sxm , .cgm , .nef , .sxw , .class , .odb , .tar , .cmd , .odg , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .odt , .tiff , .csr , .onetoc2 , .txt , .csv , .ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der” , .ott , .vcd , .dif , .p12 , .vdi , .dip , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .dot , .php , .wav , .dotm , .pl , .wb2 , .dotx , .png , .wk1 , .dwg , .pot , .wks , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .pst , .xlw , .jar , .rar , .zip , .java , .raw

Una vez encripta los archivos los renombra con la extensión “.WNCRY”. Por ejemplo, si nos encripta un archivo llamado mifoto.png, este ransomware lo dejará como mifoto.png.WNCRY

Después de realizar todo el proceso de encriptado de archivos, el malware borra el volumen shadow de copias de seguridad con el siguiente comando:

cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

 

Y para rematar el trabajo, nos cambia el fondo de pantalla de escritorio con la siguiente imagen:

encriptacion-wannacrypt

Y por si no nos enteramos de que nos ha ‘secuestrado’ los archivos, también lanza el famoso ejecutable con el mensaje:

rescate-wannacrypt

El ransomware también nos demuestra que desencripta los archivos para asegurarnos que si pagamos nos devolverá los archivos. De esta manera, nos permite desencriptar unos pocos archivos para verificarlo, rápidamente nos repite que paguemos para desencriptar todos los demás archivos:

wannadecryptor

Capacidad para propagarse

Como hemos comentado anteriormente, el virus intenta propagarse en busca de máquinas Windows sin parchear en la red. A la vez, realiza un escáner masivo de IPs en internet (IPs públicas) para seguir infectando. Esto genera un tráfico bastante considerable de SMB desde el equipo infectado que puede ser observado si capturamos los paquetes de la red.

capacidad-propagacion-wannacrypt

El escáner de IPs públicas genera aleatoriamente octetos para formar una serie de IPv4 para intentar la explotación de la vulnerabilidad CVE-2017-0145. Una vez encuentra una maquina vulnerable la pone en su ‘lista’ de máquinas por infectar. Este círculo vicioso de infección continua infinitamente en busca de más máquinas vulnerables.

Cuando infecta una máquina ejecuta un shellcode a nivel de kernel que parece copiado del backdoor público conocido como DOBLEPULSAR, que realiza ciertos ajustes para ejecutar el ransomware, para sistemas x86 y x64.

infeccion-wannacrypt

infeccion-wannacrypt-2

Pasos para prevenir esta infección

Desde Microsoft nos recomiendan lo siguiente:

  • Actualizar a Windows 10 y mantener el sistema actualizado.
  • Instalar la actualización de seguridad MS17-010 lo antes posible si no la tenemos aún actualizada.
  • Desactivar el SMBv1 siguiendo la siguiente documentación: Microsoft Knowledge Base Article 2696547
  • Considerar el añadir una regla en tu firewall o router para bloquear el trafico entrante de SMB a través del puerto 445.

De igual forma, nos comentan que Windows Defender ya detecta el virus como Ransom:Win32/WannaCrypt en la update 1.243.297.0, por lo que nos recomienda activarlo en caso de que lo tengamos desactivado.

 

¿Qué os parece todo el revuelo que ha formado el virus? A mí me resulta bastante interesante como han desarrollado el virus sus creadores.

Espero que os resulte de utilidad todo esto. Podéis seguiros informando de novedades y minitalleres de ciberseguridad en el blog.

Nos vemos en la siguiente entrada!