Desde el 12 de mayo de 2017, una campaña WannaCry ransomware altamente prolífica ha sido observada impactando organizaciones a nivel mundial. WannaCry (también conocido como WCry o WanaCryptor) es un malware que se propaga por su mismo ransomware (gusano) a través de redes internas y por la Internet pública mediante la explotación de una vulnerabilidad existente en Microsoft protocolo Server Message Block (SMB). El software malicioso agrega archivos de datos cifrados con la extensión .WCRY, que lentamente se ejecuta como una herramienta de descifrado, y exige $ 300 o $ 600 USD (a través de Bitcoin) para descifrar los datos.  El malware utiliza canales de cifrado TdR para comandos y comunicaciones de control (C2).

Basado en nuestro análisis (analisis realizado por fireeye), los binarios maliciosos asociados con la actividad WannaCry se componen de dos elementos distintos, uno que proporciona funcionalidad ransomware - actuando muy similar a WannaCry (muestras de malware reportados antes del 12 de mayo) y un componente usado para la propagación, el cual contiene la funcionalidad para permitir que la  exploración y las capacidades de explotación de SMB.

Dada la distribución rápida y prolífica de este ransomware, FireEye iSIGHT Intelligence considera ésta actividad como un riesgo significativo para todas las organizaciones que utilizan las máquinas de Windows potencialmente vulnerables.

Vector de infección

WannaCry explota una vulnerabilidad SMB de Windows para habilitar la propagación después de haber establecido un punto de apoyo en un entorno. Este mecanismo de propagación puede distribuir el malware, tanto dentro de la red comprometida y a través de Internet pública. El exploit utilizado es el nombre en código “EternalBlue” y se filtró por ShadowBrokers. La vulnerabilidad explotada, fue parcheada en Microsoft MS17-010.

Sobre la base de nuestro análisis (análisis realizado por FireEye), el malware genera dos acciones. La primera acción enumera los adaptadores de red y determina qué subredes del sistema están encendidos. El malware genera entonces una acción para cada IP en la subred. Cada uno de estos hilos intenta conectarse a la IP en el puerto TCP 445 y, si tiene éxito, realiza la exploración del sistema. Un ejemplo de un intento de explotar un sistema remoto se puede ver en la Figura 1.

Figura 1: WannaCry tráfico de la red de intentar explotar SMB

En respuesta al uso de esta vulnerabilidad explotada, Microsoft ha proporcionado medidas específicas de gestión de riesgos para WannaCry .

Mientras WannaCry ransomware se ha extendido principalmente a través de la explotación de SMB, sus operadores también pueden utilizar otros métodos de distribución. Los primeros informes sugirieron que WannaCry se extendió a través de enlaces maliciosos en mensajes de correo basura; FireEye ha podido corroborar la información a través de nuestras investigaciones realizadas hasta la fecha.

Independientemente del vector de la infección original, operadores WannaCry podrían adoptar cualquier mecanismo de distribución común a la actividad ransomware, tales como documentos maliciosos, publicidad maliciosa, o compromisos de sitios de alto tráfico. A la luz de alto impacto de esta campaña hasta el momento y las incertidumbres en cuanto a los vectores de distribución tempranas, las organizaciones deben considerar cualquier vector de entrega de malware común una fuente potencial de infección WannaCry.

Características de malware

Cada una de las variantes WannaCry identificadas hasta la fecha (que tenía una funcionalidad similar a un gusano) han incluido un killswitch, el cual una serie de investigadores han utilizado para evitar que el malware actue. Sin embargo, los operadores podrían eliminar o modificar esta característica, como se demuestra por la aparición de múltiples variantes con nuevos  dominios.

• Al infectar una máquina de la víctima, el paquete WannaCry que comenzó a propagarse en mayo 12 intentando conectarse con: [.] Com www iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.], si el malware podría alcanzar con éxito este dominio basado en las pruebas de FireEye, no podría realizar el cifrado o auto-propagación (algunas organizaciones han informado de que el malware seguirá auto-propagandose en este caso, pero no han confirmado este comportamiento en entornos de prueba ). Este dominio ha sido registrado por un profesional de la seguridad el 12 de mayo; al parecer, el comportamiento de parada de cifrado para muchas infecciones. Los desarrolladores WannaCry pueden haber previsto esta funcionalidad killswitch para servir como una medida de análisis anti-caja de arena.
• El 14 de mayo, una variante emergió con un nuevo dominio killswitch: [.] Com www ifferfsodp9ifjaposdfjhgosurijfaewrwergwea [.]. Este dominio también se sinkholed, causando ostensiblemente el comportamiento killswitch desactivar cualquier infección WannaCry que contactaron el dominio. Si este cambio de contactos de dominio fue implementado por los distribuidores originales o un tercero modificando muestras distribuidas no está claro.
• También el 14 de mayo, se identificó una nueva variante que no contiene la funcionalidad killswitch contacto dominio. Sin embargo, este cambio puede haber sido implementado por un tercero después de que el malware ha sido compilado en lugar de, por los operadores. El componente ransomware de esta variante parece dañado y no funciona en entornos de prueba.

Impacto

Pese a los alentadores informes de la disminución de las amenazas, WannaCry sigue planteando riesgos significativos. Teniendo en cuenta los eficaces mecanismos de repropagación de este malware, prácticamente cualquier organización que no ha aplicado mecanismos de mitigación recomendadas, está en riesgo potencial de propagación WannaCry. Por otra parte, la aparición de nuevas variantes demuestra que los operadores podrían eliminar la funcionalidad de killswitch WannaCry si lo desea, o modificarlo significativamente para evitar las contramedidas adoptadas hasta el momento. Los informes públicos demuestran que los incidentes asociados con la familia ransomware WannaCry se han producido en muchos países.

Gestión de riesgos

Las organizaciones que buscan protegerse de esta amenaza deben leer el blog de Microsoft en hacer frente a la explotación asociada SMB .

La rápida, distribución prolífica de este ransomware ha influido en rápidas actualizaciones a toda la cartera de tecnologías de detección, análisis de inteligencia de amenazas y recomendaciones y servicios de consultoría de FireEye.

Productos de FireEye de punto final, de red y  correo electrónico tienen capacidades de detección proactiva ransomware que pueden detectar y, si se despliegan en línea, o con Exploit Guardia activada, puede bloquear el nuevo ransomware (incluyendo WannaCry) distribuidos a través de Internet y vectores de infección a través de correo electrónico. Operadores WannaCry podrían aprovechar estos mecanismos populares  de entrega en cualquier momento. Si esto ocurre, los clientes de productos de FireEye serían alertados por las siguientes alertas:

• HX: WMIC ShadowCopy BORRAR, WANNACRY ransomware, Ransom.WannaCryptor * * o * Trojan.generic.. Guardia explotar y nombres de las alertas Anti-Virus dependerá de mecanismo de entrega y variantes.
• NX / EX: Malware.Binary.exe, Trojan.Ransomware.MVX, Ransomware.Wcry *, * FE_Ransomware_WannaCry, Trojan.SinkholeMalware o Malicious.URL..
• Sólo EX: Phish.URL o FE_EMAIL_MALICIOUS_EXM_ *

Productos FireEye también detectan más tarde la actividad WannaCry etapa, tales como las comunicaciones de comando y control e indicadores de acogida para las infecciones WannaCry existentes. Además, FireEye PX (Red Forense) sensores desplegados internamente y monitoreados por FireEye como servicio (FAAS) puede detectar el tráfico SMB propagación. Los clientes pueden aprovechar los indicadores existentes que muestran las posibles infecciones. Estos indicadores se han desplegado a FireEye HX (Punto Final) para los clientes y están disponibles en el portal de la inteligencia MySIGHT para los clientes de suscripción iSIGHT. 

Proxies de red y otras funciones de seguridad de redes empresariales pueden evitar que el malware entre en contacto con su dominio killswitch e inadvertidamente desencadenar los cifrados. Las organizaciones pueden desear ajustar sus configuraciones de proxy u otras configuraciones de red para evitar este problema.