16 May Evolución del impacto de WannaCrypt en España
Se está produciendo una infección masiva a nivel mundial de equipos tanto personales como en organizaciones, por un malware del tipo ransomware que tras instalarse en el equipo, bloquea el acceso a los ficheros del ordenador afectado pidiendo un rescate. Así mismo, podría infectar al resto de ordenadores vulnerables de la red.
Se recomienda aplicar los últimos parches de seguridad publicados por Microsoft. Se puede consultar más información sobre el parche de seguridad necesario en: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Debido al impacto que está habiendo a nivel mundial, Microsoft ha decidido publicar parches de seguridad para versiones de su sistema operativo que ya no contaban con soporte oficial como son Windows XP, Windows Server 2003 y Windows 8 a través de su Blog Oficial.
Los sistemas Windows 10 tambien están afectados.
En caso de que no sea posible aplicar los parches de seguridad, se debería optar por las siguientes medidas de mitigación:
- Aislar la red donde haya equipos infectados.
- Aislar los equipos infectados.
- Desactivar el servicio SMBv1.
- Bloquear la comunicación de los puertos 137/UDP y 138/UDP así como los puertos 139/TCP y 445/TCP en las redes de las organizaciones.
- Bloquear el acceso a la red de anonimato Tor.
Tambien se recomienda habilitar el acceso a las siguientes URL; es un mecanismo de contención implementado en el propio malware (conocido como kill switch) que evitará que se ejecute en la mayoría de las muestras conocidas hasta el momento.
- www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
- www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
Nota: El malware no es proxy-aware, por lo que en casos donde se utilice un proxy para la navegación es posible que sea necesario crear reglas host locales para permitir el acceso a dichas URL.
Más información en: https://www.certsi.es/alerta-temprana/avisos-seguridad/oleada-ransomware-afecta-multitud-equipos
Fuente: CERTSI
