Alerta de seguridad: Ransomware WCry afectando Latinoamérica

El 12 de Mayo de 2017, una variante del ransomware denominado “WannaCry” (WCry) impactó a las organizaciones en todo el mundo, y ya se ha confirmado la proliferación del mismo en algunos países de la región Latinoamericana.

Los informes iniciales indican que el método de infección del ransomware es mediante el aprovechamiento de una vulnerabilidad crítica en el protocolo SMB reportada hace más de un mes por Microsoft. Dada la rápida distribución de este ransomware, es importante que todas las organizaciones apliquen los parches de seguridad publicados ya por Microsoft de manera inmediata mediante el boletín de seguridad MS17-010 de Microsoft.

Método de infección
La forma en que éste ransomware logra ejecutarse en los dispositivos de las víctimas, es principalmente vía campañas de Phishing por correo electrónico. Varias fuentes acreditadas han informado que, WannaCry explota una vulnerabilidad SMB de Windows para el movimiento lateral. Esta vulnerabilidad, fue parchada en la actualización Microsoft MS17-010, que fue lanzada en respuesta a explotaciones SMB filtrado por ShadowBrokers. MS17-010 cubre seis vulnerabilidades de ejecución remota.

Mapa de infección de malware en tiempo real

Mapa de infección de malware en tiempo real

Información del boletín Microsoft:

MS17-010: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Información FireEye iSIGHT Intelligence:

https://mysight.isightpartners.com/report/full/17-00002524

Monitoreo en tiempo real de infecciones de Malware:

https://intel.malwaretech.com/botnet/wcrypt

Información ShadowBrokers:

https://mysight.isightpartners.com/report/full/17-00003789

Firmas MD5 asociados a archivos de WCry2

b0ad5902366f860f85b892867e5b1e87
db349b97c37d22f5ea1d1841e3c89eb4
84c82835a5d21bbcf75a61706d8ab549
7bf2b57f2a205768755c07f238fb32cc
638f9235d038a0a001d5ea7f5c5dc4ae
31dab68b11824153b4c975399df0354f
7f7ccaa16fb15eb1c7399d422f8363e8
b675498639429b85af9d70be1e8a8782
509c41ec97bb81b0567b059aa2f50fe8
86721e64ffbd69aa6944b9672bcabb6d5
5bef35496fcbdbe841c82f4d1ab8b7c2
3175e4ba26e1e75e52935009a526002c

 

Command and Control

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Registry Keys

HKEY_LOCAL_MACHINE\Software\WanaCrypt0r