Analisis inicial:
El ransomware WannaCry recibido y analizado por US-CERT es un cargador que contiene una DLL cifrada con AES. Durante el tiempo de ejecución, el cargador escribe un archivo en el disco llamado “t.wry”. El malware luego utiliza una clave incrustada de 128 bits para descifrar este archivo. Esta DLL, que luego se carga en el proceso padre, es el verdadero Wanna Cry Ransomware responsable de encriptar los archivos del usuario. Usando este método de carga criptográfica, la DLL de WannaCry nunca se expone directamente en el disco y no es vulnerable a los análisis de software antivirus.
La nueva DLL cargada inmediatamente comienza a encriptar archivos en el sistema de la víctima y encripta los archivos del usuario con AES de 128 bits. Se genera una clave aleatoria para el cifrado de cada archivo.
- ¿Puede un virus esconderse de un antivirus? Si puede, ¿permanecerá activo después de eliminar el software con el que vino?
- ¿Cómo funcionan los certificados digitales usando SSL?
- ¿Alguien sabe del software de administración de contraseñas que permite a un administrador ocultar el texto plano de las contraseñas de un usuario de la computadora?
- Los archivos no se abren, muestran los caracteres chinos. Sin embargo, no se detectaron ransomware, malware, troyanos o virus. ¿Hay algo más que podría ser?
- ¿No pueden los hackers talentosos simplemente hackear los autos autónomos y causar accidentes?
El malware también intenta acceder a los recursos compartidos de IPC $ y los recursos SMB a los que tiene acceso el sistema víctima. Este acceso permite que el malware se propague lateralmente en una red comprometida. Sin embargo, el malware nunca intenta obtener una contraseña de la cuenta de la víctima para acceder al recurso compartido IPC $.
Este malware está diseñado para propagarse lateralmente en una red al obtener acceso no autorizado al recurso compartido IPC $ en recursos de red en la red en la que está operando.
Impacto
El ransomware no solo se dirige a usuarios domésticos; las empresas también pueden infectarse con ransomware, lo que puede tener consecuencias negativas, que incluyen
• pérdida temporal o permanente de información confidencial o de propiedad,
• interrupción de las operaciones regulares,
• pérdidas financieras incurridas para restaurar sistemas y archivos, y
• daño potencial a la reputación de una organización.
Pagar el rescate no garantiza que se liberarán los archivos cifrados; solo garantiza que los actores maliciosos reciban el dinero de la víctima y, en algunos casos, su información bancaria. Además, descifrar archivos no significa que se haya eliminado la infección de malware en sí.
Solución
Pasos recomendados para la prevención
• Aplique el parche de Microsoft para la vulnerabilidad MS17-010 SMB del 14 de marzo de 2017.
• Habilite filtros de spam fuertes para evitar que los correos electrónicos de phishing lleguen a los usuarios finales y autentique el correo electrónico entrante utilizando tecnologías como Sender Policy Framework (SPF), Informe de autenticación y conformidad de mensajes de dominio (DMARC), y Correo identificado de DomainKeys (DKIM) ) para evitar la falsificación de correo electrónico.
• Escanee todos los correos electrónicos entrantes y salientes para detectar amenazas y filtrar los archivos ejecutables para que no lleguen a los usuarios finales.
• Asegúrese de que las soluciones antivirus y antimalware estén configuradas para realizar exploraciones periódicas automáticamente.
• Administrar el uso de cuentas privilegiadas. Implemente el principio del menor privilegio. Ningún usuario debe tener acceso administrativo a menos que sea absolutamente necesario. Aquellos que necesiten cuentas de administrador solo deben usarlas cuando sea necesario.
• Configure los controles de acceso, incluidos los permisos de archivos, directorios y recursos compartidos de red con el mínimo privilegio en mente. Si un usuario solo necesita leer archivos específicos, no debe tener acceso de escritura a esos archivos, directorios o recursos compartidos.
• Deshabilite los scripts macro de los archivos de Microsoft Office transmitidos por correo electrónico. Considere usar el software Office Viewer para abrir archivos de Microsoft Office transmitidos por correo electrónico en lugar de las aplicaciones completas de Office.
• Desarrollar, instituir y practicar programas de educación para empleados para identificar estafas, enlaces maliciosos e intentos de ingeniería social.
• Realice pruebas de penetración periódicas contra la red. No menos de una vez al año. Idealmente, tan a menudo como sea posible / práctico.
• Pruebe sus copias de seguridad para asegurarse de que funcionen correctamente con el uso.
Pasos recomendados para la remediación
• Contactar a la policía. Le recomendamos encarecidamente que se comunique con una oficina local del FBI sobre el descubrimiento para informar una intrusión y solicitar asistencia. Mantener y proporcionar registros relevantes.
• Implemente su respuesta a incidentes de seguridad y su plan de continuidad comercial. Idealmente, las organizaciones deberían asegurarse de tener copias de seguridad apropiadas para que su respuesta sea simplemente restaurar los datos de una copia de seguridad limpia conocida.
Defensa contra ransomware en general
Las medidas de precaución para mitigar las amenazas de ransomware incluyen:
• Asegúrese de que el software antivirus esté actualizado.
• Implemente un plan de respaldo y recuperación de datos para mantener copias de datos confidenciales o de propiedad en un lugar separado y seguro. Las copias de seguridad de datos confidenciales no deben ser fácilmente accesibles desde las redes locales.
• Examine los enlaces contenidos en correos electrónicos y no abra archivos adjuntos incluidos en correos electrónicos no solicitados.
• Solo descargue software, especialmente software gratuito, de sitios que conoce y en los que confía.
• Habilite parches automatizados para su sistema operativo y navegador web.
También puede leer: https://lnkd.in/fdezWCH