Boletín de Seguridad UNAM-CERT-2017-001 Alerta por ransomware WannaCry
Se ha detectado la explotación activa de una vulnerabilidad en SMB (MS17-010) que afecta a sistemas Windows por el ransomware WannaCry que cifra los archivos en el equipo y los de las unidades de red a las que estén conectadas, además de propagarse por la red afectando a otros sistemas Windows.
-
Descripción
Se ha detectado la explotación activa de una vulnerabilidad en SMB (MS17-010) que afecta a sistemas Windows por el ransomware WannaCry que cifra los archivos en el equipo y los de las unidades de red a las que estén conectadas, además de propagarse por la red afectando a otros sistemas Windows.
Se ha localizado en más de 150 países y ha afectado a diversos tipos organizaciones, desde ensambladoras de autos hasta hospitales.
Un ransomware es un programa malicioso que cifra la información de una computadora, de manera que el usuario pierde el acceso a sus archivos, y para recuperarlos debe pagar un rescate. Sin embargo, no existe garantía de que los ciberdelincuentes descifren los datos o no exijan un rescate superior.
-
Impacto
La vulnerabilidad en Server Message Block (SMB MS17-010), permite la ejecución de código de forma remota. El factor adicional de WannaCry es que aprovecha esta capacidad para enviar el malware a otras computadoras en una red, por ello UNAM-CERT considera que el impacto es alto.
-
Sistemas afectados
Microsoft Windows Vista SP2
Windows Server 2008 SP2 and R2 SP1
Windows XP
Windows 7
Windows 8.1
Windows RT 8.1
Windows Server 2012 and R2
Windows 10
Windows Server 2016 -
Solución
Actualizar a la brevedad. Esta vulnerabilidad de Windows fue parchada por Microsoft en el mes de marzo, así que los sistemas operativos actualizados y con los más recientes parches de seguridad no son vulnerables a este ataque.
En una acción sin precedentes, Microsoft lanzó parches para todas las versiones de Windows a las que ya no ofrece soporte, como una medida para detener el avance de este ransomware. Si se tienen versiones como Windows XP o Windows 7, se aconseja descargar ahora los parches disponibles.
Otra herramienta a disposición del público es CCN-CERT NoMoreCry Tool, del Equipo de Respuesta ante Emergencias Informáticas del Centro Criptológico Nacional de España. Esta herramienta crea un mutex (algoritmo de exclusión mutua) en el equipo que previene la ejecución del código malicioso. Esta herramienta se debe ejecutar tras cada reinicio, porque no tiene persistencia en el equipo y funciona para sistemas operativos superiores a Windows XP.
-
Recomendaciones
- Actualizar a la brevedad para evitar la infección.
- Aislar la comunicación a los puertos 137 y 138 UDP y puertos 139 y 445 TCP en las redes.
- Desconectar de la red los equipos infectados.
- Realizar respaldo de la información.
- No realizar los pagos exigidos por el atacante. -
Contacto en caso de dudas
La UNAM cuenta con el equipo de respuesta a incidentes UNAM-CERT, el cual puede ser contactado a través del correo electrónico incidentes@cert.unam.mx o por teléfono al 56228169.
-
Referencias
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
- Victor Enrique Arteaga Lona (victor dot arteaga at cert dot unam dot mx)
- Demian Garcia (demian dot garcia at cert dot unam dot mx)
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at cert.unam.mx
http://www.cert.unam.mx
Tel: 56 22 81 69