Etiqueta: wannacry

PCNOVA MSSP. Cómo hemos protegido a nuestros clientes durante los ataques de Ransomware Wannacry y Petya

En PCNOVA seguimos trabajando para ofrecer las mejores soluciones como Proveedor de Servicios Gestionados. En los casos del Ransomware Wannacry y Petya, como MSP y MSSP hemos podido resguardar las infraestructuras de nuestros clientes y garantizar la continuidad de la organización utilizando el conjunto de Servicios y Soluciones IT includos en la SOLUCION NOVA que permite integrar dentro de un mismo conjunto de servicios Antivirus de categoría empresarial, Copia de Seguridad Gestionada y además una Solución ANTI RANSOMWARE. Lo que hemos trabajado con nuestros clientes lo detallamos a continuación.

Las Claves de Nuestros Servicios. Solución NOVA y NOVA Adaptive Defense.

REVISION/VERIFICACION DE VULNERABILIDAD MS70-010

A través de nuestra plataforma de Gestión y monitorización de la Solución NOVA, utilizando el servicio de gestión de vulnerabilidades, verificamos que todos los equipos de nuestros clientes tuvieran el parches MS70-010 instalado. Para ello utilizamos un script que nos permitió determinar y listar el estado de todos los clientes gestionados:

PCNOVA MSP. Script de verificación de la instalación del parche que solucionaba la vulnerabildiad ms17-010 en powershell
Ejemplo del listado de verificación a través de la herramienta de gestión de vulnerabildades de la Solución NOVA de que el parche MS70-010 estaba instalado
Ejemplo del listado de verificación a través de la herramienta de gestión de vulnerabildades de la Solución NOVA de que el parche MS17-010 estaba instalado

CONTACTO POR EMAIL PARA ACTIVAR ALERTA MAXIMA DURANTE EL ATAQUE

Durante todo el fin de semana estuvimos informando a nuestros clientes del ataques. Lanzamos alertas para que todas las organizaciones estuvieran al tanto de la situación y procuraran evitar cualquier posibilidad de engaño para que el ataque se iniciara internamente:

Comunicación de Alerta enviada por email a nuestros clientes durante el ataque del Ransomware Wannacry

 VERIFICACION DE LAS COPIAS DE SEGURIDAD

 Como MSP, uno de los servicios incluídos en nuestra exclusiva SOLUCION NOVA es el Backup Gestionado, más conocido como BaaS (Backup as a Service). A través de este servicio, hemos podido administrar las copias de nuestros clientes en remoto, incluso con la opción de recuperación por versionado de hasta 30 días de copias de seguridad.

 

VERIFICACION ANTIVIRUS GESTIONADO

El antivirus es la primera línea de defensa del equipo, pero en PCNOVA hemos ido un paso más allá y proveemos de un AV de categoría empresarial para todos nuestros clientes. Dependiendo del equipo, podemos decidir qué motor de Antivirus instalamos: Bitdefender Enterprise, Vipre Enterprise o Panda Security, todos gestionables desde nuestra consola central.

 VERIFICACION NOVA ADAPTIVE DEFENSE

Nuestra herramienta NOVA Adaptive Defense es la mejor línea de defensa contra ataques de Día Cero como el Ransomware. Nuestra solución es UN COMPLEMENTO a las soluciones Antivirus, NO UN SUSTITUTO. NOVA Adaptive Defense se fundamenta en un modelo de seguridad basado en tres principios: monitorización continua de las aplicaciones de los puestos y servidores de la empresa, clasificación automática mediante técnicas de Machine Learning en una plataforma Big Data en la nube y, por último, el análisis en profundidad por parte de técnicos expertos de aquellas aplicaciones no clasificadas automáticamente, con el fin de conocer el comportamiento de todo aquello que se ejecuta en su organización.

Adicionalmente al panel de gestión que nos indica de un sólo vistazo la situación de los equipos, disponemos de una herramienta integrada de Análisis Forense que nos permite examinar y determinar aquellos posibles aspectos de su empresa que podrían afectar su seguridad o, si fuese el caso, determinar con exactitud dónde ha comenzado un ataque y cómo ha sido detenido.

Todo este conjunto de soluciones nos permite optimizar y aumentar la seguridad de nuestros clientes como su MSSP de confianza. Si usted desea más información para mejorar la Seguridad y Defensa IT de su organización, le proponemos que visite nuestra web y conozca nuestras Campañas #INICIATIVAPROACTIC y #NOALRANSOMWARE. Si lo prefiere, podemos contactarle inmediatamente a través de nuestro formulario de Contacto:

Una vez más agradecemos su contacto y quedamos a las órdenes de nuestros clientes para aclarar sus dudas o consultas a través de nuestros canales regulares en redes sociales o directamente:

Ricardo González Darkin

Consultor Técnico / Especialista en Soluciones IT para Educación y la Pequeña y Mediana Empresa

Share

WannaCry: El Ransomware ¿o Ransomworm? de escala mundial. Protégase frente a este Ciberataque

Lo comentábamos hace poco tiempo en nuestro artículo “Las Amenazas a la Seguridad Informática de las Organizaciones es Real. PCNOVA Security & IT Defense”  y todo parece indicar que ha llegado: WannaCry es el temido Ransomware o más bien Ransomworm que “encripta y secuestra” los datos de los usuarios, pero aprovecha una vulnerabilidad de Windows para combinarse con un gusano que infecta a otros ordenadores de la red . Esta vulnerabilidad ya había sido detectada por Microsoft (Boletín de Seguridad MS17-010) y debidamente parcheada el 14 de Marzo del 2017, más muchos por desconocimiento y otros por falta de tiempo o sencillamente por descuido no la han instalado y por tanto son ALTAMENTE vulnerables a este ataque, al punto de que la recomendación es APAGAR Y DESCONECTAR LOS EQUIPOS DE LA RED en caso de observar algún comportamiento anómalo. Probablemente el malware que ha infectado al “paciente 0”, para el caso de las organizaciones,  ha llegado a través de un adjunto, una descarga aprovechando una vulnerabilidad de un ordenador. La versión del malware según los análisis es un WanaCrypt0r, una variante de WCry/WannaCry.

Noticias del mundo respecto al ataque:

El Mundo: El ciberataque con el virus WannaCry se extiende a nivel mundial
El Pais: El ataque de ‘ransomware’ se extiende a escala global
INCIBE – Instituto de Ciberseguridad: Importante oleada de ransomware afecta a multitud de equipos
CN-Cert  Centro Criptográfico Nacional: Identificado ataque de ransomware que afecta a sistemas Windows
ABC: El ciberataque afecta a varios países y es muy virulento

Quién ha sido atacado por este Malware tipo Ransomworm?

Fuente: ArsTechnica via Karpersky Lab

Lo que en un principio parecía una amenaza local en España se ha convertido en un ciberataque a nivel mundial que se ha extendido por el sistema de salud de Reino Unido y que ha afectado en distintos niveles a EEUU, Canadá, Rusia, China, Italia o Taiwan. El ataque ha aprovechado una brecha de seguridad de la que Microsoft había alertado el 14 de marzo y hasta los momentos hay constancia de que ha afectado ya a 74 países por todo el mundo.

En España fue hackeada la red interna de Telefónica y de otras grandes empresas como Iberdrola o Gas Natural y en Reino Unido el Sistema Nacional de Salud, NHS, ha confirmado esta tarde que al menos 25 hospitales y centros médicos por todo el país han sido víctimas del ciberataque. Ya en horas de la tarde de ayer viernes se habían detectado más de 57.000 (algunos hablan de 99.000) ataques por todo el globo. Otro dato interesante y que fue desvelado porp Costin Raiu de Kaspersky Lab es que el mensaje que encabeza el ciberataque esta escrito en Rumano, más al parecer no por un nativo, además “el mayor número de intentos de ciberataque se han detectado en Rusia”

Qué hace WannaCry en los dispositivos, cómo se ejecuta.

Según hemos podido investigar, el vector inicial del ataque ha seguido siendo posiblemente email tipo spam en donde se notifica de facturas, ofertas de trabajo o cualquier otro mensaje enviado a través de email. Cómo siempre, dicho correo contiene un archivo en formato comprimido .zip que al descomprimirse, ejecuta el código. Luego, el ataque se comparte a través de la red LAN usando una vulnerabilidad P2P SMB (Server Message Block protocol) conocida como ETERNALBLUE, que según algunos especialistas ejecuta otro código tipo gusano para expandirse a través de la red interna. Lo más grave es que al verse comprometido el primer dispositivo, el mismo código busca otros dispositivos en la red interna que igualmente sea vulnerables al no disponer de la actualización MS17-010 de Microsoft y “sin hacer nada” este equipo también es infectado. Luego de infectado, todos los archivos presentan la extensión .wncry, mostrando la notificación @Please_Read_Me@.txt

Jaime Blasco, director de los laboratorios de Alienvault en San Francisco, aporta más  información: El ataque ya está parado tras la difusión de un parche de Windows por parte de Microsoft. ..”Uno de los vectores de infección parece ser un exploit que consigue la ejecución de código remoto en sistemas Windows. Este exploit (llamado EternalBlue) se hizo público como parte de uno de as filtraciones de Shadowbrokers. Se recomienda aplicar todas las actualizaciones publicadas por Microsoft para parchear esta vulnerabilidad”, reitera. Es, por tanto, uno de los archivos liberados en la última denuncia de Wikileaks.

Qué sistemas operativos estan siendo afectados por este ataque

  • Microsoft Windows Vista SP2
  • Windows Server 2008 SP2 and R2 SP1
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 and R2
  • Windows 10
  • Windows Server 2016

Qué soluciones debe aplicar en caso de no contar con un Soporte Técnico Informático Profesional y NO estar infectado.

Para detener la multiplicación del ataque en su red interna, debe actualizar el sistema operativo Windows con los últimos parches de seguridad ya que el malware aprovecha una vulnerabilidad para el que ya existe un parche de seguridad desde el pasado més de marzo y que podrá encontrar en la siguiente dirección: Boletín de Seguridad MS17-010 . Dicha actualización de seguridad impide que el malware se pueda propagar fácilmente por la red.

En caso de que no sea posible aplicar los parches de seguridad, se debería optar por las siguientes medidas de mitigación:

  • Aislar la red donde haya equipos infectados.
  • Aislar los equipos infectados.
  • Bloquear la comunicación de los puertos 137/UDP y 138/UDP así como los puertos 139/TCP y 445/TCP en las redes de las organizaciones.

Si observa un comportamiento errático del ordenador y que éste se reinicia abruptamente, NO INICIE EL ORDENADOR, puede ser que usted ya haya sido infectado y que al reiniciar se complete el proceso y por tanto sus archivos queden encriptados. Lo recomendable es que pueda iniciar el ordenador a través de un pendrive o un DVD con un sistema operativo arrancable y desde allí haga una copia de seguridad de los archivos antes de volver a iniciar su dispositivo, puede que así pueda salvar sus datos de ser encriptados. Esta última recomendación la hacemos sobre todo a aquellas personas que aún trabajen con SO Windows XP, dado que NO EXISTEN PARCHES PARA ESTE SISTEMA OPERATIVO, por tanto muy probablemente sean los más vulnerables y puedan infectarse próximamente. Para otros SO como Windows Vista, 7,8,8.1 y 10, si usted ha mantenido una política de actualizaciones correcta, en principio NO DEBERÍA SER UN BLANCO FÁCIL de este ataque, pero MANTÉNGASE ALERTA.

Qué soluciones debe aplicar en caso de no contar con un Soporte Técnico Informático Profesional y SI estar infectado.

En caso de que no sea posible aplicar los parches de seguridad, se debería optar por las siguientes medidas de mitigación:

– Aislar la red donde haya equipos infectados.

– Aislar los equipos infectados.

– Desactivar el servicio SMBv1.

– Bloquear la comunicación de los puertos 137/UDP y 138/UDP así como los puertos 139/TCP y 445/TCP en las redes de las organizaciones.

– Bloquear el acceso a la red de anonimato Tor.

¿Cómo recuperar los datos cifrados?

El Instituto Nacional de Ciberseguridad de España (INCIBE) a través del CERT de Seguridad e Industria (CERTSI) dispone de un servicio gratuito de análisis y descifrado de ficheros afectados por ciertos tipos de ransomware denominado Servicio Antiransomware.
Para poder identificar el tipo de virus y verificar si los datos son recuperables, sigue los pasos del siguiente artículo para ponerte en contacto: Nuevo Servicio Antiransomware, recupera el control de tu información.
Debido a que la prestación de este servicio de análisis y descifrado se realiza en colaboración con una entidad externa a INCIBE y a pesar de tener acuerdo de confidencialidad con la misma, es recomendable que los ficheros que se envíen no contengan información privada o confidencial, ya que serán compartidos con la citada entidad para su análisis.

Por último, si no lo has hecho ya, puedes poner la correspondiente denuncia de lo ocurrido ante las Fuerzas y Cuerpos de Seguridad del Estado:

Lecciones aprendidas en base al ataque de WannaCry . Cómo PCNOVA y sus Servicios SOLUCION NOVA y NOVA ADAPTIVE DEFENSE le estan ayudando contra este Ciberataque.

  • Mantenga una política de Administración de Parches: Gracias a la Solución NOVA (Standard, Premium y Platinum) mantenemos una administración remota y automática de los parches y las vulnerabilidades de Microsoft y de otros fabricantes, de esta forma los equipos monitorizados estan actualizados, contando para ello con un Servicio Gestionado desde la nube 100% garantizado, eliminando la posibilidad de que su infraestructura informática sea presa de este tipo de ataques de Malware por la no aplicación de un parche o actualización de seguridad.

 

  • Mantenga una política de copias de seguridad no sólo local, también remotas (fuera de su organización). Todas nuestras SOLUCIONES DE BACKUP GESTIONADO a través de la Solución NOVA (Standard, Premium y Platinum), cuentan con el servicio de copia de Seguridad externa a la organización en servidor seguro y con copia encriptada, además con la posibilidad de realizar un versionado de copias de seguridad, con lo cual contará con al menos 7 días hábiles de copia de seguridad (y hasta 30 días calendario) de sus archivos, lo cual le permitirá mantenerse completamente protegido respecto a un ataque de estas dimensiones, incluso podría recuperar archivos borrados o sobreescritos por accidente, al igual que estos archivos encriptados.
  • No trabaje sólo con un antivirus que le proteja en base a firmas. Algunos fabricantes de antivirus aún trabajan sólo con actualizaciones en base a firmas, ésto dificulta la protección frente a ataques de Día Cero como Wannacry. Nuestros partner de Seguridad ESET ANTIVIRUS y PANDA SECURITY no trabajan sólo con protección antivirus en base a firmas. NUESTRA EXCLUSIVA SOLUCION NOVA ADAPTIVE DEFENSE es un COMPLEMENTO PERFECTO al antivirus ya que detiene con una efectividad de hasta el 100% este tipo de ataques Zero Day.

  • Protección de Red. Cada vez se hace más críticas que la pequeña y mediana empresa este protegida contra este tipo de ataques monitorizando la red con dispositivos de Seguridad de Red. Nuestras Soluciones de Watchguard  y Stormshield Network Security le garantizan que su red esté debidamente monitorizada y protegida frente a este tipo de ataques.

Actualización de Información Sábado 13/05/2017 17:00. Microsoft decide lanzar un Parche de Actualización para SO sin soporte

Debido a la afectación que está habiendo a nivel mundial, Microsoft ha decidido publicar parches de seguridad para versiones de su sistema operativo que ya no contaban con soporte oficial como son Windows XP, Windows Server 2003 y Windows 8 a través de su Blog Oficial

Actualización de Información Lunes 15/05/2017 5:00. 10.000 Organizaciones, 200.000 infectados en 150 países y se teme que hoy Lunes crezca sustancialmente. Nueva variante de Wannacry.

Estas son las cifras y el mapa “en vivo” del Ransomware Wannacry:

Fuente: https://intel.malwaretech.com/botnet/wcrypt

Durante el fin de semana una nueva variante comenzó a emerger y fue detenida con la misma estrategia que la primera, se determinó cuál era el dominio al cuál el malware accede para descargar el agente infeccioso y se tomó control sobre el mismo. Una segunda variante ha sido detectada este domingo, pero al parecer no se ha ejecutado por un error en su programación, pero se ha desplegado. Se espera que nuevas variantes salgan a la luz en las próximas horas o días.

Se ha creado mucha información por parte de varios fabricantes y especialistas (desafortunadamente algunas de estas informaciones está en inglés). Siga los enlaces y tome nota de las recomendaciones:

MICROSOFT: Guía para clientes del ataque de Wannacrypt

TROY HUNT. MVP Microsoft. Todo lo que necesita saber acerca de WannaCry

CHEMA ALONSO. Hacker Ético. Alto responsable de Seguridad de Telefónica. El ataque de Ransomware #Wannacry

INCIBE: Actualización informativa sobre los ciberataques producidos. 

Actualización de Información Lunes 15/05/2017 12:30. El Centro Criptológico nacional ha emitido un comunicado en donde informe de una vacuna y medidas para la detección y desinfección de Wannacry

Hasta ahora se mantiene la cifra de usuarios afectados por debajo de los 200.000, se temía por un aumento en los afectados al encender los ordenadores este lunes.

El CCN-CERT ha actualizado además la vacuna para impedir la ejecución del código dañino en todos los sistemas Windows
El informe recoge el análisis preliminar de la campaña masiva que ha afectado a nivel global con varias muestras de ransomware de la familia WannaCry, que realizan un cifrado masivo de ficheros y solicitan un rescate para recuperarlos.
El CCN-CERT acaba de publicar en su portal el Informe de Código Dañino: CCN-CERT ID-17/17 Código Dañino. WannaCry, que recoge el análisis preliminar de la campaña de ransomware de la familia WannaCry, iniciada este viernes, 12 de mayo, y que realiza un cifrado masivo de ficheros para, después, solicitar un rescate para recuperarlos.

Esta variante de ransomware incorpora código para realizar la explotación de la vulnerabilidad publicada por Microsoft el día 14 de marzo descrita en el boletín MS17-010 y conocida como ETERNALBLUE. Hasta el momento todas las máquinas han sido atacadas mediante este exploit.

Vacuna para prevenir la infección

El CCN-CERT ha actualizado su herramienta desarrollada para prevenir la infección por el código dañino WannaCry 2.0. Se trata de “CCN-CERT NoMoreCry Tool“, una aplicación que impide la ejecución del malware antes de que el equipo esté infectado (la herramienta no es útil en el caso de que la máquina esté infectada).

La herramienta funciona ya en todos los sistemas operativos de Windows.

Otras medidas recomendadas por el CERT Gubernamental Nacional frente a este ransomware son las siguientes:

  • Actualizar los sistemas a su última versión o parchear según informa el fabricante
  • Se recomienda instalar el parche de seguridad de Microsoft que impide la propagación del malware al resto de la red.
  • Para los sistemas sin soporte o parche se recomienda aislar de la red o apagar según sea el caso (se recuerda que Microsoft.
  • Bloquear la comunicación a los puertos 445 y 139 en las redes de las organizaciones.
  • Establecer reglas que detecten el ataque en los sistemas NIDS.
  • Descubrir qué sistemas, dentro de su red, pueden ser susceptibles de ser atacados a través de la vulnerabilidad de Windows, en cuyo caso, puedan ser aislados, actualizados y/o apagados.

Si necesita más información o que colaboremos con usted de manera puntual o urgente frente a este Ciberataque, estamos alertas y preparados ante las necesidades de nuestros clientes .

Estamos a la expectativa ante este ataque y procuraremos actualizar la información al respecto en cuanto sea posible.  Estamos convencidos de que podemos protegerle como MSP y MSSP, será un privilegio poder atender, gestionar y mejorar la seguridad de su infraestructura informática.

Ricardo González Darkin

Consultor Técnico / Especialista en Soluciones IT para Educación y la Pequeña y Mediana Empresa

Share