El Centro Criptológico Nacional de España ha alertado sobre un ataque masivo de ransomware que afecta a sistemas Windows. Este ataque explota la vulnerabilidad descrita en el boletín MS17-010 de Microsoft utilizando EternalBlue/DoulbePulsar que puede infectar al resto de los sistemas Windows conectados dentro de la red local que no estén debidamente actualizados.
El ransomware es una variante de WannaCry, infectando la máquina y cifrando todos los archivos y, utilizando la vulnerabilidad descrita anteriormente, puede ejecutar comandos de forma remota a través de Samba (SMB), distribuyendose así al resto de las máquinas Windows en esta misma red.
Los sistemas afectados que disponen de actualización de seguridad son:
- Microsoft Windows Vista SP2
- Windows Server 2008 SP2 y R2 SP1
- Windows 7
- Windows 8.1
- Windows RT 8.1
- Windows Server 2012 y R2
- Windows 10
- Windows Server 2016
Medidas de prevención y mitigación
El CCN-CERT recomienda lo siguiente:
- Actualizar los sistemas a su última versión o parchear según informa el fabricante
- Para los sistemas sin soporte o parche se recomienda aislar de la red o apagar según sea el caso.
- Aislar la comunicación a los puertos 137 y 138 UDP y puertos 139 y 445 TCP en las redes de las organizaciones.
- Descubrir qué sistemas, dentro de su red, pueden ser susceptibles de ser atacados a través de la vulnerabilidad de Windows, en cuyo caso, puedan ser aislados, actualizados y/o apagados.
En el caso de haberse visto afectados por esta campaña y no dispusieran de copias de seguridad, se recomienda conservar los ficheros que hubieran sido cifrados por la muestra de ransomware antes de desinfectar la máquina, ya que no es descartable que en un futuro apareciera una herramienta que permitiera descifrar los documentos que se hubieran visto afectados.
Actualización: Al momento se tienen detectados más de 74 países afectados por este malware.
{{cta(‘6931b3e6-9263-4ab3-ac59-b188e5f0f000’)}}
