Seguridad: sobre Wannacry ransomware
WannaCry es la variante de ransomware que atacó en mayo y que afectó a múltiples empresas, como Telefónica en España, el Servicio Nacional de Salud en el Reino Unido o FedEx en Estados Unidos.
Esta variante comprueba el puerto 445 (Server Message Block / SMB), propagándose como un gusano, comprometiendo servidores, cifrando archivos almacenados en ellos y exigiendo un rescate en Bitcoin, pero además no solo escanea redes internas, sino que aprovecha vulnerabilidades que encuentra en otros servidores, que se conectan directamente a través de Internet.
Además, desde Talos identifican que WannaCry hace uso del exploit ETERNALBLUE, supuestamente desarrollado por la NSA, para la explotación inicial de la vulnerabilidad SMB (Server Message Bloc, el cual, si tiene éxito, implanta la puerta trasera/backdoor DOUBLEPULSAR que se utiliza generalmente para acceder y ejecutar código en sistemas previamente comprometidos, permitiendo la instalación y activación de software adicional, como malware. Esta vulnerabilidad SMB (Server Message Block) está tratada en el boletín de seguridad de Microsoft MS17-010.
Todas las organizaciones deben asegurarse de que los dispositivos que ejecutan Windows estén completamente actualizados y desplegados acordes con estas instrucciones. Además, las organizaciones deben tener puertos SMB (139, 445) bloqueados desde todos los hosts accesibles externamente.
(Fuente: CISCO)