Tema: Ciberataque

Los expertos en estas cosas este fin de semana estamos un poco ocupaos, me temo.
Los que lo sufrieron recomponiendo el desaguisao y los que no lo sufrimos protegiéndonos contra él.

Explicado muy sencillamente básicamente lo que han hecho ha sido mezclar un ataque de tipo Ramsonware (que cifra y secuestra el contenido del ordenador como el kryptolocker por ejemplo), con un ataque Zeroday (una vulnerabilidad dirigida hacia una aplicación o sistema que no estaba todavía detectado por las aplicaciones antivirus) y una activación retardada (como la del famoso viernes 13). Bien, el resultado de esto es que estaban infectados sin saberlo y cuando se activó los pilló con los pantalones bajados y el culo en pompa.

¿Cómo les metieron el bicho? Pues en ello estamos ....

Hola,pero yo me pregunto que sacan con esto al efectuarlo en un hospital,por ejemplo.
Salu2 de Felipe

Bueno, pues en este caso el interés es meramente económico, secuestran la información cifrándola y piden un rescate en bitcoins para descifrarla. Aunque a la hora de la verdad sólo los turistas pagan el rescate, se suele recurrir a las copias de seguridad para recuperar la información.

Parece que ya está un poco más centrada la cosa y era más o menos como os dije, infección inicial por mail o web que implica la ejeción de un código malicioso y luego proparagación dentro de las redes locales aprovechando protocolo de uso compartido de archivos explotando vulnerabilidades.

Ya que estamos os pongo la información que me han mandado:

Ayer por la mañana se ha producido un incidente de seguridad con afectación internacional e impacto en múltiples empresas.
　　
Esta campaña de alta criticidad se basa en la explotación de una vulnerabilidad sobre tecnología Microsoft descrita en el boletín de seguridad MS17-010, a través de una variante del ransomware WCRY/WANNACRY, que principalmente se propaga entre equipos en la misma red vía protocolo SMB (TCP puerto 445).
　
Las principales recomendaciones y medidas preventivas que se deben implementar de forma prioritaria se resumen a continuación:

• Verificación de parcheado de equipos Microsoft Windows según boletín MS17-010.
• Desactivación del protocolo SMB1.0 en caso de que esté activo en el equipo. Esta medida impide la infección directamente a través de la red.
  
• Se puede valorar activar el FW local del equipo para impedir conexiones entrantes por el protocolo 445.
  
• Actualización de las firmas de antivirus de los principales fabricantes.
  
• Bloqueo entre subredes del tráfico correspondiente a protocolo SMB (TCP puerto 445), con el objetivo de evitar o minimizar la propagación entre máquinas infectadas.

Se recomienda extremar las precauciones en la conexión de equipos y portátiles a las redes internasde la compañía, poniendo especial cuidado en las conexiones a redes donde se encuentren equipos críticos de negocio.

Para detectar si una máquina ha sido infectada se pueden comprobar los siguientes cambios o modificaciones en ficheros y registros de Windows:

Verificar el registro HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\Curren tVersion\Run
Clave: [a-z]{12,14}[0-9]{3} = c:\windows\tasksche.exe

Comprobar la existencia de los siguientes archivos en la máquina:
@Please_Read_Me@.txt
taskdl.exe
tasksche.exe
taskse.exe
@WanaDecryptor@.exe
@WanaDecryptor@.bmp
@WanaDecryptor@.exe.lnk
mssecsvc.exe

A través de la investigación realizada por el equipo de análisis forense de Telefónica, recomendamos también desplegar directivas que impidan la ejecución de los ficheros asociados a los siguientes Hashes:

File Name @WanaDecryptor@.exe
MD5 7bf2b57f2a205768755c07f238fb32cc
SHA1 45356a9dd616ed7161a3b9192e2f318d0ab5ad10
SHA256 b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb 9b560d81391c25
SHA512 91a39e919296cb5c6eccba710b780519d90035175aa460ec6d be631324e5e5753bd8d87f395b5481bcd7e1ad623b31a34382 d81faae06bef60ec28b49c3122a9
CRC32 4E6C168D
　
File Name taskdl.exe
MD5 4fef5e34143e646dbf9907c4374276f5
SHA1 47a9ad4125b6bd7c55e4e7da251e23f089407b8f
SHA256 4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642e cd705a74794b79
SHA512 4550dd1787deb353ebd28363dd2cdccca861f6a5d9358120fa 6aa23baa478b2a9eb43cef5e3f6426f708a0753491710ac054 83fac4a046c26bec4234122434d5
CRC32 E969EF31
　
File Name taskse.exe
MD5 8495400f199ac77853c53b5a3f278f3e
SHA1 be5d6279874da315e3080b06083757aad9b32c23
SHA256 2ca2d550e603d74dedda03156023135b38da3630cb014e3d00 b1263358c5f00d
SHA512 0669c524a295a049fa4629b26f89788b2a74e1840bcdc50e09 3a0bd40830dd1279c9597937301c0072db6ece70adee4ace67 c3c8a4fb2db6deafd8f1e887abe4
CRC32 BC193579
　
File Name mssecsvc.exe
MD5 db349b97c37d22f5ea1d1841e3c89eb4
SHA1 e889544aff85ffaf8b0d0da705105dee7c97fe26
SHA256 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea 04703480b1022c
SHA512 d6c60b8f22f89cbd1262c0aa7ae240577a82002fb149e9127d 4edf775a25abcda4e585b6113e79ab4a24bb65f4280532529c 2f06f7ffe4d5db45c0caf74fea38
CRC32 9FBB1227
　
File Name tasksche.exe
MD5 84c82835a5d21bbcf75a61706d8ab549
SHA1 5ff465afaabcbf0150d1a3ab2c2e74f3a4426467
SHA256 ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5 babe8e080e41aa
SHA512 90723a50c20ba3643d625595fd6be8dcf88d70ff7f4b4719a8 8f055d5b3149a4231018ea30d375171507a147e59f73478c0c 27948590794554d031e7d54b7244
CRC32 4022FCAA
　

Por último:


Se recomienda el bloqueo del tráfico hacia/desde la dirección IP:
144.217.254.3

Se recomienda permitir el tráfico hacia la URL http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/
para inhibir las acciones que se ejecutan en una máquina que haya sido infectada.

La descripción completa sobre este modus operandi se puede consultar en el siguiente enlace:
http://blog.talosintelligence.com/2017/05/wannacry.html

Hola,salu2 de Felipe

Iniciado por flipk12

Bueno, pues en este caso el interés es meramente económico, secuestran la información cifrándola y piden un rescate en bitcoins para descifrarla. Aunque a la hora de la verdad sólo los turistas pagan el rescate, se suele recurrir a las copias de seguridad para recuperar la información.

Parece que ya está un poco más centrada la cosa y era más o menos como os dije, infección inicial por mail o web que implica la ejeción de un código malicioso y luego proparagación dentro de las redes locales aprovechando protocolo de uso compartido de archivos explotando vulnerabilidades.

Ya que estamos os pongo la información que me han mandado:

Ayer por la mañana se ha producido un incidente de seguridad con afectación internacional e impacto en múltiples empresas.
　　
Esta campaña de alta criticidad se basa en la explotación de una vulnerabilidad sobre tecnología Microsoft descrita en el boletín de seguridad MS17-010, a través de una variante del ransomware WCRY/WANNACRY, que principalmente se propaga entre equipos en la misma red vía protocolo SMB (TCP puerto 445).
　
Las principales recomendaciones y medidas preventivas que se deben implementar de forma prioritaria se resumen a continuación:

• Verificación de parcheado de equipos Microsoft Windows según boletín MS17-010.
• Desactivación del protocolo SMB1.0 en caso de que esté activo en el equipo. Esta medida impide la infección directamente a través de la red.
  
• Se puede valorar activar el FW local del equipo para impedir conexiones entrantes por el protocolo 445.
  
• Actualización de las firmas de antivirus de los principales fabricantes.
  
• Bloqueo entre subredes del tráfico correspondiente a protocolo SMB (TCP puerto 445), con el objetivo de evitar o minimizar la propagación entre máquinas infectadas.

Se recomienda extremar las precauciones en la conexión de equipos y portátiles a las redes internasde la compañía, poniendo especial cuidado en las conexiones a redes donde se encuentren equipos críticos de negocio.

Para detectar si una máquina ha sido infectada se pueden comprobar los siguientes cambios o modificaciones en ficheros y registros de Windows:

Verificar el registro HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\Curren tVersion\Run
Clave: [a-z]{12,14}[0-9]{3} = c:\windows\tasksche.exe

Comprobar la existencia de los siguientes archivos en la máquina:
@Please_Read_Me@.txt
taskdl.exe
tasksche.exe
taskse.exe
@WanaDecryptor@.exe
@WanaDecryptor@.bmp
@WanaDecryptor@.exe.lnk
mssecsvc.exe

A través de la investigación realizada por el equipo de análisis forense de Telefónica, recomendamos también desplegar directivas que impidan la ejecución de los ficheros asociados a los siguientes Hashes:

File Name @WanaDecryptor@.exe
MD5 7bf2b57f2a205768755c07f238fb32cc
SHA1 45356a9dd616ed7161a3b9192e2f318d0ab5ad10
SHA256 b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb 9b560d81391c25
SHA512 91a39e919296cb5c6eccba710b780519d90035175aa460ec6d be631324e5e5753bd8d87f395b5481bcd7e1ad623b31a34382 d81faae06bef60ec28b49c3122a9
CRC32 4E6C168D
　
File Name taskdl.exe
MD5 4fef5e34143e646dbf9907c4374276f5
SHA1 47a9ad4125b6bd7c55e4e7da251e23f089407b8f
SHA256 4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642e cd705a74794b79
SHA512 4550dd1787deb353ebd28363dd2cdccca861f6a5d9358120fa 6aa23baa478b2a9eb43cef5e3f6426f708a0753491710ac054 83fac4a046c26bec4234122434d5
CRC32 E969EF31
　
File Name taskse.exe
MD5 8495400f199ac77853c53b5a3f278f3e
SHA1 be5d6279874da315e3080b06083757aad9b32c23
SHA256 2ca2d550e603d74dedda03156023135b38da3630cb014e3d00 b1263358c5f00d
SHA512 0669c524a295a049fa4629b26f89788b2a74e1840bcdc50e09 3a0bd40830dd1279c9597937301c0072db6ece70adee4ace67 c3c8a4fb2db6deafd8f1e887abe4
CRC32 BC193579
　
File Name mssecsvc.exe
MD5 db349b97c37d22f5ea1d1841e3c89eb4
SHA1 e889544aff85ffaf8b0d0da705105dee7c97fe26
SHA256 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea 04703480b1022c
SHA512 d6c60b8f22f89cbd1262c0aa7ae240577a82002fb149e9127d 4edf775a25abcda4e585b6113e79ab4a24bb65f4280532529c 2f06f7ffe4d5db45c0caf74fea38
CRC32 9FBB1227
　
File Name tasksche.exe
MD5 84c82835a5d21bbcf75a61706d8ab549
SHA1 5ff465afaabcbf0150d1a3ab2c2e74f3a4426467
SHA256 ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5 babe8e080e41aa
SHA512 90723a50c20ba3643d625595fd6be8dcf88d70ff7f4b4719a8 8f055d5b3149a4231018ea30d375171507a147e59f73478c0c 27948590794554d031e7d54b7244
CRC32 4022FCAA
　

Por último:


Se recomienda el bloqueo del tráfico hacia/desde la dirección IP:
144.217.254.3

Se recomienda permitir el tráfico hacia la URL http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/
para inhibir las acciones que se ejecutan en una máquina que haya sido infectada.

La descripción completa sobre este modus operandi se puede consultar en el siguiente enlace:
http://blog.talosintelligence.com/2017/05/wannacry.html

Para un no informático como yo esto es como leer un texto en chino.

Como particular, si en mi época de Windows se me hubiese infectado así el ordenador, hay un comando muy útil: format c:
(teniendo en cuenta, claro, que tengo una copia de los datos importantes para mí)

Bueno, en Win XP sufrí varios virus de la policía y lo solucioné en un periquete cuando conseguí el/los programas adecuados. Ahora con W8.1, procuro estar actualizado/parcheado y uir de cualquier archivo .exe pirata. En 19 años conectado, aun no he tenido que tirar ningún HD por infección (lo cual no significa que en un instante lo pierda por esa razón, o haya estado noches enteras de limpieza!, jaja)

En este último ataque se sabe, a ciencia cierta, que se haya atacado algún ordenador domestico/casero/domicilio/no banquero?. O solo empresas?

Creo que con un poquito de cuidado, visitando pages decentes, no ejecutando un "I love you", etc, es poco probable que nos infectemos. Y quien no habría picado si nos envían un enlace con "Te quiero". Ya no abro ni los enlaces de avisos de Correos
A pesar de eso, un par de veces he tenido que trabajar en mi page web con el backup Local

Salu2
(digo yo, que algún informático en el mundo estará de finde en las Bahamas, o Bali, o Madagascar, o La Reunión, o Borneo, o....no?)

A ver, esto es como todo, el sentido común evitaría cosas que de otra manera hay que gastar mucho dinero para evitar, lo que pasa es que en mi caso no puedo suponer que 1200 usuarios van a tener sentido común siempre, así que no me queda otra que adoptar las medidas necesarias. El sentido común no es el más común de los sentidos.

Aún con ello un virus Zeroday es un virus Zeroday, y lo que pasa con estos tipos de virus es que no se conocen hasta que la lían. Para librarte de esto tienes que utilizar una técnica de Sandboxing, que se basa en que todos tus adjuntos de correo se examinan en tránsito hacia los sistemas de correo en una herramienta que simula un ordenador, los abre y evalua el riesgo de lo que hacen. Esto es bastante caro y no todo el mundo lo tiene. Además, todo sistema de detección, por avanzado que sea, puede fallar.

O arriesgarte en confiar no ser de los primeros y que cuando te llegue a tí, que te llegará, los sistemas de detección de firmas de los UTM (firewalls que analizan el tráfico de red en busca de malware), de los ESA (sistemas que analizan el correo en tránsito en busca de spam y malware) y de los antivirus locales de los equipos reconozcan el malware y lo eliminen. Sólo eliminan lo que previemente conocen.

Los usuarios domésticos se lo comen como el resto, pero un usuario doméstico habitualmente no está en una red local con otros cientos de equipos a su alcance por los que propagar el virus. Los usuarios domésticos lo sufren igualmente, pero las consecuencias no son las mismas.

De todas formas, lo que nos ha salvado el culo siempre con este tipo de virus que cifran las cosas son las copias de seguridad. Copias de seguridad que hay que tener ofline, es decir se copia y el medio en que se copia se guarda en un armario, no vale con mantener la información en dos discos al alcance del sistema en todo momento. Las copias de seguridad bien organizadas nos protegen de estas cosas y de muchas otras.

Empezaréis a oir informaciones de las empresas diciendo que la cosa no ha sido tan grave, que tal y que cual. Esas empresas tienen, y venden, sistemas de protección con lo que minimizar el impacto mediático de lo sucedido es lo que tienen que hacer para mantener la confianza de sus clientes. Pero desde un punto de vista del impacto real se la han metido hasta el corvejón y lo que han hecho ha sido aplicar medidas paliativas, es decir, recuperarse de un desastre. Todas las empresas tienen, o deberían de tener, un plan de recuperación de desastres, que vale tanto para casos como este, para incendios, inundaciones, etc, etc.

Hoy la prensa de aqui en primera pagina dice..."desconcierto mundial ante el alcance de la mayor crisis informatica de la historia" y añaden que "no saben como recuperar los archivos secuestrados" buffff
Salu2 de Felipe

Y es cierto, lo único que pueden hacer es recuperarlos de las copias de seguridad, o tratar de descifrarlos. Las posibilidades de éxito de esto último son de nulas a ninguna y requiere un esfuerzo en tiempo de cálculo y recursos descomunal.

Iniciado por invierno

Hoy la prensa de aqui en primera pagina dice..."desconcierto mundial ante el alcance de la mayor crisis informatica de la historia" y añaden que "no saben como recuperar los archivos secuestrados" buffff
Salu2 de Felipe

Hace más de 10 años que vengo usando mis portátiles domésticos sin antivirus y no he tenido nunca problemas de virus.
Quiero pensar que cuando un virus se encuentra ante la puerta del PC, lo primero que pretende es atacar el antivirus para poder entrar. Como que no lo encuentra, no sabe qué hacer y "pasa de largo".
Ya se, una teoría muy mía.

¿Tu sabes lo que hace un niño pequeño cuando juega al escondite?

Cuando empiezan a contar, echa a correr.
Cuando acaban de contar, se para y se tapa los ojos.
A algunos no los encuentran.

Iniciado por mcdrego

Hace más de 10 años que vengo usando mis portátiles domésticos sin antivirus y no he tenido nunca problemas de virus.
Quiero pensar que cuando un virus se encuentra ante la puerta del PC, lo primero que pretende es atacar el antivirus para poder entrar. Como que no lo encuentra, no sabe qué hacer y "pasa de largo".
Ya se, una teoría muy mía.