Nueva oleada de ransomware afectando a múltiples equipos

Recursos afectados: Equipos con sistemas Windows.

Descripción:
La infección se está produciendo a través de equipos con sistemas operativo Windows y, según confirman diferentes fuentes, está teniendo impacto en Rusia, Polonia, Alemania y especialmente en Ucrania.

Las investigaciones apuntan a que utiliza tres vías de propagación:

  • PsExec, en el caso de que el equipo afectado tenga permisos de administración.
  • Windows Management Instrumentation Command-line (WMIC), en el caso de que haya sido capaz de obtener credenciales en memoria mediante una herramienta similar a Mimikatz o LSADump.
  • Vulnerabilidad conocida como EternalBlue, MS17-010.

Cuando el malware compromete un sistema comprueba si tiene permisos de administración sobre el mismo. En el caso de que sea así, cifra el sector de arranque (MBR) impiendo el acceso al dispositivo. En caso contrario, comienza a cifrar determinados ficheros usando el estándard de encriptación AES-128.

Una vez que infecta el equipo, eliminado los eventos de sistema y crea una tarea para reiniciarlo al cabo de una hora. Una vez reiniciado solicita un pago de 300 dólares mediante bitcoins para poder recuperar la información.

Prevención:
Se recomienda tomar las siguientes medidas preventivas:

  • Establecer políticas de seguridad y seguir pautas de actuación como las que se indican en la sección Protege tu empresa en el portal de INCIBE
  • Mantener sus equipos actualizados tanto su sistema operativo como otro software instalado.
  • No abrir ficheros descargados de Internet o recibidos por correo electrónico de fuentes no confiables.
  • Realizar copias de seguridad de sus ficheros.
  • Utilizar el principio de mínimo privilegio en todos los sistemas.
  • En la medida de lo posible, bloquear el tráfico de los puertos TCP 135, 445, 1024-1035.
  • Bloquear la ejecución de ficheros en rutas como por ejemplo %AppData% o %Temp%.
  • Mantenerse al tanto de las últimas informaciones que puedan publicarse sobre esta oleada.

Por el momento, se han confirmado los siguientes indicadores de compromiso:

Direcciones IP

  • 111[.]90[.]139[.]247
  • 185[.]165[.]29[.]78

Dominios

  • coffeinoffice[.]xyz
  • french-cooking[.]com

URLs

  • http://84[.]200[.]16[.]242/myguy.xls
  • http://french-cooking[.]com/myguy.exe

Fuente: CERTSI

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *