sábado, 13 de mayo de 2017

RANSOMWARE AL ACECHO, MAPEO DE EQUIPOS EXPUESTOS EN LATINOAMERICA

Ayer fue un día duro en el mundo, WannaCry secuestro miles de equipos en el mundo entre servidores Windows y equipos de escritorio conectadas a la red, siendo los países más afectados España, Inglaterra (Toda Europa), China, India, Estados Unidos, Argentina, Colombia, México, Brasil, Perú, Chile entre otros, empresas importantes que brindan servicios críticos fueron comprometidos, como es el caso de Telefónica y tratan de decir que el impacto fue leve, cuando los Call Centers que les brindan servicios en los diferentes países no pudieron trabajar.



Este es el mensaje del Malware (Ransomware): Paga 300 dólares en 'bitcoins' antes del 15 de mayo por equipo afectado ó borro tu información el día 19.



Tenemos 2 vectores de ataque, el primero un exitoso ataque de ingeniería social a los empleados de dichas organizaciones mediante correo electrónico con URL infectadas y Plugin para ejecutar en el navegador, donde a la persona (víctima) le cuesta NO ser curioso y le da clic a cualquier enlace, o descargan el archivo adjunto, porque creen en lo que leen; "Ganaste los $10 000 que sortea tu banco", "Notificación de embargo", "Urgente actualización de datos del Seguro Social" entre otros mensajes dentro del mail.

Pero el ataque por correo electrónico no es la única forma de infectar un equipo con ransomware, recuerdan el post anterior que hice sobre POR FAVOR ¡AFINA TU ROUTER!!! https://maximaseguridadcorporation.blogspot.pe/2017/05/por-favor-afina-tu-router.html donde se utilizo Shodan y se puede acceder a cualquier dispositivo en el mundo, todo por una mala practica de las políticas de seguridad y falta de profesionalismo de muchos administradores de red y sysadmin. Esta es la segunda forma para acceder directamente al equipo, todo porque esta expuesto hacia Internet el puerto con el servicio vulnerable (SMB) y se realiza un ataque directo apuntando a la IP pública, luego se propaga por la red LAN el malware iniciando una propagación a gran escala donde los dispositivos de seguridad no pueden actuar e incluso dentro del ataque (script) se pueden deshabilitar.

Nuevamente utilizo esta herramienta que hoy se presta para realizar Information Gathering y poder colaborar con los colegas de TIC de Latinoamerica, para que puedan ver cuantos equipos con el servicio SMB están expuestos en Perú, México, Argentina y Colombia, toda la información esta expuesta libremente en Internet, así que no se vulnera ningún sistema... hay mucho trabajo por realizar.

La vulnerabilidad de ataque por SMB se dio a conocer en Febrero de este año como un ataque 0Day, Microsoft lo parcho el 14 de Marzo como Microsoft Security Bulletin MS17-010 - Critical, muchos aún no han parchado sus sistemas Windows y es por eso que su red completa se vio comprometida con el malware.

La información está expuesta en Internet y tengan por seguro que  los Crackers desde el mes de Febrero han aprovechado esta vulnerabilidad. Pero de diferentes formas.

En Perú como ven en imágenes tenemos a Telefónica del Perú, Americatel Perú, Level 3 Communications, Econocable Media y Claro Perú con equipos Windows XP, Windows 7, 8, server 2008 R2, server 2012 con SMB expuesto, a trabajar colegas para no ser víctimas del Ransomware.




En México tenemos a Telmex, Axtel, Alestra, una universidad: Universidad Nacional Autónoma, Totalplay Comunicaciones con Windows 7 Professional, Windows 8.1, server 2008 R2, server 2012 R2 con SMB.



En Colombia Movistar Colombia, Telmex Colombia, UNE, ETB, Media Commerce Partners con sistemas server 2008 R2, server 2012, server 2012 R2, Windows 7, UNIX con SMB.



En Argentina Telefónica Argentina, Telecom Argentina, NSS, Telecentro, San Vicente Cable y Telecomunicaciones, Universidad Tecnológica Nacional entre otras con Windows XP, Windows 7 Professional, Windows 8.1, server 2008 R2, server 2012 R2 con SMB.


Este es mi aporte como especialista en Ciberseguridad, pueden contactarme a rhuaman@maximaseguridadcorp.com para temas de consultoria y Pentesting, gustoso les responderé.

Como actuar: La prevención es primero.


Toda empresa debe contar con Pentesters para auditar la infraestructura TIC y especialistas en Seguridad Defensiva para realizar el hardening adecuado a los sistemas Windows, se recomienda:


Bloquear las conexiones SMB salientes, puertos TCP 139 y 445 junto con los puertos UDP 137 y 138 para los que aún utilizan Windows XP y MS Server 2003, versiones sin soporte de actualizaciones de seguridad.

Los Backup deben estar aislados en otro entorno, fuera de la organización o red.

Cambiar los permisos de escritura en los discos duros.
Y lo más importante capacita en temas de seguridad informática al eslabón más débil de la cadena de tu organización "los Usuarios".

No olvides: La información te hace libre y te prepara para no perder frente a los crackers y ciberdelincuentes.
Suscríbete y comparte.