El mundo ha sido víctima de un nuevo ataque de ransomware, lo cual vuelve a dejar en
evidencia que sigue habiendo sistemas desactualizados, falta de soluciones de
seguridad y de planes necesarios para evitar una infección. La realidad es que
estos ataques continúan creciendo y evolucionando, sobre todo después de que el
grupo Shadow Brokers filtró las herramientas de la
NSA; como
anticipamos, los cibercriminales están empezando a explorarlas para ver cómo
aprovecharlas con fines maliciosos.
La reciente ofensiva por parte de los
cibercriminales, que involucra un ransomware detectado por ESET como Win32/Diskcoder.C, es otra prueba de ello.
De los daños que ha generado esta amenaza han
surgido una gran cantidad de dudas por parte de muchos usuarios, por lo que
hemos decidido responderlas y contarte todo sobre este nuevo ataque.
¿Cuáles son las características de este ransomware?
Podemos
destacar tres aspectos que lo diferencian:
- Cifrado: no solo cifra los archivos
con una extensión determinada, sino que además intenta cifrar,
generalmente con éxito, el MBR (Master Boot Record), que es el
registro principal de arranque.
- Propagación: tiene la propiedad de un
gusano, o sea, puede propagarse a través de diferentes técnicas por la red
logrando infectar nuevos equipos.
- Exploits: hace uso de ellos para
explotar vulnerabilidades en equipos que no han sido actualizados o no se
les han instalado los parches correspondientes. Esto es algo de lo que se
estuvo hablando mucho desde la aparición de WannaCryptor.
¿Es igual de poderoso que WannaCryptor?
Ambos tienen el mismo impacto: impiden el acceso a
la información almacenada en sl sistema. Sin embargo, este nuevo ataque no solo
cifra la información que se encuentra en los equipos, sino que, luego de que se
reinicia el sistema, deja inutilizable al sistema operativo, por lo que
las víctimas se ven obligadas a realizar una reinstalación.
¿Se propaga de la misma forma que WannaCryptor?
Sí y no. Ambos utilizan el exploit de la NSA
llamado EternalBlue. Pero Win32/Diskcoder.C
implementa otras técnicas de propagación abusando de herramientas legítimas de
Microsoft Windows, como lo son PsExec, que forma parte de la suite de
herramientas de Sysinternals, y WMIC (Windows Management Instrumentation
Command-line), fuente para administrar los datos y la funcionalidad en equipos
locales y remotos que ejecutan los sistemas operativos Windows.
¿Qué relación tiene con Mischa y Petya?
La principal razón por la que se los nombra juntos
es que estos tres códigos maliciosos dejan inutilizable al sistema operativo cifrando
el MBR, como también los datos que se encuentren en el sistema operativo.
Alejándonos de esa cuestión, no tienen mucho más en común, ya que implementan
técnicas y procesos diferentes.
¿Qué es lo que hace exactamente esta amenaza?
Luego de que el ransomware es
ejecutado, crea una tarea programada con el fin de reiniciar el equipo en un
determinado tiempo, que no suele ser más de sesenta minutos.
Además, verifica si existen carpetas o discos compartidos para propagarse;
en caso de que así sea, utiliza WMIC para ejecutar la muestra en la máquina
remota.
Luego comienza a cifrar archivos
que contengan una determinada extensión. Podemos destacar que, a diferencia de
la mayoría del ransomware, este código malicioso no cambia o agrega una extensión
particular luego de cifrar cada archivo, lo cual es una técnica muy utilizada
por los atacantes para distinguir a los archivos infectados.
¿Qué puedo hacer para evitarlo?
Recomendamos leer el artículo relacionado en nuestra Base
de Conocimiento y tener en cuenta los siguientes consejos.
Tanto en hogares como en empresas, contar con una
solución antivirus y tener los sistemas actualizados es imprescindible. Tiene
que estar correctamente configurada, contemplar qué puertos están abiertos y
por qué, especialmente los puertos 135, 139, 445 y 1025-1035 TCP,
que son los que utilizan WMI y PsExec. También se debe bloquear la ejecución de
archivos EXE dentro de % AppData% y % Temp%; deshabilitar las
cuentas ADMIN$ predeterminadas y/o la comunicación con los recursos compartidos
de Admin$; y, si es posible, deshabilitar SMB versión 1.
Es importante contar con doble factor de autenticación
para acceder a los sistemas, ya que es una capa más de protección que se suma a
las credenciales que normalmente se solicitan para validar usuarios. De esta
forma, se evitaría que ante una infección el código malicioso realice
movimiento lateral para propagarse a través del acceso remoto.
Además, la red debe estar bien configurada y
segmentada, y monitorear constantemente el tráfico para detectar algún
tipo de comportamiento fuera de lo normal. Es esencial realizar un estudio
detallado de la información más relevante y hacer backup de la misma, para que, en caso de que se cifre, haya
una forma de restaurarla.
En cuanto a las contraseñas,
es primordial llevar una buena gestión de las mismas, ya que si tan solo una de
las máquinas infectadas posee las credenciales de administrador, podría
infectar toda la red. Además, no deberían repetirse entre equipos y centros de
administración.
Me infecté y no puedo acceder al sistema, ¿qué hago?
Se podrían utilizar técnicas
forenses para intentar correr en memoria otro sistema operativo y de esta forma
acceder a los archivos cifrados. Sin embargo, no hay mucho que se pueda hacer
más que aplicar el backup, lo cual sería crucial para evitar la reinstalación
del sistema operativo.
En última instancia, si no
hay backup, los cibercriminales siempre ofrecerán la opción extorsiva de pagar
el rescate, pero desde ESET nunca sugerimos hacerlo por varios motivos.
Actualización 07/07/17,
17:05 (UTC -03): La investigación de ESET sobre TeleBots, el grupo que podría
estar detrás de este ataque, sugiere que Diskcoder.C no es un típico
ransomware: si bien cifra los archivos y demanda 300 dólares en bitcoins como
rescate, la intención de sus autores es causar daño y corromper la información
más que obtener el dinero. De hecho, hicieron todo lo posible para que el
descifrado de los archivos sea muy poco probable.
Este malware tiene la
habilidad de reemplazar el Master Boot Record (MBR) con su propio código
malicioso, pero los atacantes hicieron esta implementación de manera tal que la
recuperación de los archivos no es posible. El atacante no puede proveer
una clave de descifrado y de todas formas no podría ser ingresada en la
pantalla de pedido de rescate, porque se generaría incluyendo caracteres no
aceptados.
Autor: Diego Pérez
