Josmell Chavarri
Jul 18, 2017 · 2 min read

Con este mensaje del Malware (Ransomware) se encontraron muchos usuarios durante el ataque del WannaCry:

WannaCry secuestró miles de equipos en el mundo, siendo los países más afectados España, Inglaterra, China, India, Estados Unidos, Argentina, Colombia, México, Brasil, Perú, Chile, entre otros. Empresas importantes que brindan servicios críticos fueron comprometidas.

Esto nos da un ejemplo de lo rápido que se propaga y afecta a los sistemas. Cuando vemos qué grandes empresas que brindan servicios críticos a nivel mundial son comprometidas, lo primero que podemos preguntarnos es cuán expuestos estamos a este tipo de ataques las empresas mucho más pequeñas, e inclusive el ciudadano común.

Para entender un poco más acerca de lo que pasó durante este ataque, podemos ver la información presentada por Wikipedia que es bastante completa. Sin embargo, algo interesante es saber cómo funcionaba este Ransomware.

La infección inicial podría haber empezado a través de un ataque de phishing bien ejecutado, o el envío de correo malicioso sobre una primera víctima. Cuando es ejecutado, el Malware primero verifica el “botón de apagado”, el cual corresponde a un nombre de dominio específico. Si éste no es encontrado, entonces el Ransomware encripta los datos del ordenador, y procede a tratar de usar el exploit SMB para extenderse a ordenadores aleatorios en el Internet, y “lateralmente” a ordenadores en la misma red.

Este punto es muy importante, ya que el 14 de marzo de 2017 Microsoft publicó un “parche” crítico para remover la vulnerabilidad en sistemas soportados por Microsoft, y esto sucedió casi dos meses antes de producirse el ataque.

Boletín de microsoft: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

CVE asociados a la vulnerabilidad:
CVE-2017-0143
CVE-2017–0144
CVE-2017–0145
CVE-2017–0146
CVE-2017–0147
CVE-2017–0148

Conociendo esta realidad y con los datos obtenidos y mostrados en nuestro artículo Algunos de los servicios expuestos a Internet en América del Surnos preguntamos si ya, a casi 2 meses del ataque, los más de 200 mil dispositivos con el servicio SMB público ya tienen los respectivos parches aplicados y aún más, sabiendo que se han detectado nuevas versiones del Malware que carecen de este “botón de apagado”.

Guayoyo

Blog oficial de Guayoyo — Anuncios, actualizaciones, noticias e información de interés

Josmell Chavarri

Written by

Especialista en Seguridad de la Información. Co-Fundador de @GuayoyoLabs #Venezolano “Lee y conducirás, no leas y serás conducido”.

Guayoyo

Guayoyo

Blog oficial de Guayoyo — Anuncios, actualizaciones, noticias e información de interés

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade