Epidemia Global de WanaCryptor

15 de mayo de 2017

El 12 de Mayo de 2017 el equipo de Incident Response de Check Point empezó a rastrear el ataque global del ransomware  WanaCryptor. Tenemos reportes de que varias organizaciones globales están experimentando ataques de ransomware a gran escala, los cuales están usando SMB (Vulnerabilidad existente en Microsoft Server Message Block) para propagar el ataque dentro de la sus redes. El vector de la infección es un archivo protegido por una clave o password que contiene un script de Java dentro de un correo en el que se suplanta la identidad (phishing).

En Check Point  ofrecemos las siguientes protecciones para WanaCryptor

  1. Protección de Red (SandBlast)
  2. Emulación y Extracción de Amenazas
  3. Anti-Bot/Anti Virus
  4. Protección Endpoint (SandBlast Agent)
  5. Emulación y Extracción de Amenazas
  6. Anti-Bot/Anti Virus
  7. Anti-Ransomware
  8. Protección IPS
  9. Microsoft Windows EternalBlue SMB Código de Ejecución Remoto

https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0332.html

  1. Microsoft Windows SMB Código de Ejecución Remoto (MS17-010: CVE-2017-0143) https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0177.html
  2. Microsoft Windows SMB Código de Ejecución Remoto (MS17-010: CVE-2017-0144) https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0198.html
  3. Microsoft Windows SMB Código de Ejecución Remoto (MS17-010: CVE-2017-0145) https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0200.html
  4. Microsoft Windows SMB Código de Ejecución Remoto (MS17-010: CVE-2017-0146) https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0203.html
  5. Microsoft Windows SMB Divulgación de la información (MS17-010: CVE-2017-0147) https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0205.html

Protecciones Generales

  1. Los equipos que tienen Windows deberían aplicar un parche para vulnerabilidades discutidas en el boletín de seguridad de Microsoft MS17-010 – Update de Seguridad Crítico para Microsoft Windows SMB Server (4013389)  https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
  2. Asegúrese de que el respaldo que esté disponible en la red no se encuentre compartido.
  3. Bloquee en los servidores de correo archivos adjuntos que estén encriptados y protegidos por un password.

El equipo de Incident Response de Check Point está monitoreando de cerca la situación y está disponible para asistir a clientes.

Se liberó un video por parte de Europa donde se explica cómo la solución de Sandblast Agent es superior a las demás realizando el bloqueo, para que puedan complementar sus notificaciones.

YouTube a video of our SandBlast Agent Anti Ransomware detect this RW (actually in few parallel independent ways), including terminating the attack, remediate the machine and restore the encrypted files all working out of the box!

https://www.youtube.com/watch?feature=youtu.be&v=0jb8zd7H634&app=desktop