El 19 de mayo, se cumplió la fecha límite para que las primeras víctimas del malware paguen el secuestro (600USD) o de lo contrario su información será eliminada. Se espera que para el día de hoy la cifra recaudada se incremente drásticamente.
- Los ciberdelincuentes han logrado recaudar hasta la fecha $85,838USD.
- El Centro de Vigilancia y Seguridad Digital de A3SEC determinó que las principales ciudades expuestas a el virus Ransomware son Bogotá (53%), Medellín (24%) y Pereira (10%) debido a la exposición del servicio SMB en IPs públicas.
- Hasta el momento se han liberado tres soluciones temporales para tratar de solucionar el problema:
- Telefónica WannaCry File Restorer: Recupera los archivos temporales usados por el malware durante el proceso de cifrado, detectando a través de los Magic numbers la extensión real del archivo.
- Wannakey para Windows Xp: Funciona solo en Windows XP y solo si el equipo no ha sido reiniciado despues de la infección, aprovechando una falla en la API de Windows Crypto.
- Wannafix: Permite desactivar SMB, crea un kill-swtich en el archive host de windows, elimina el MUTEX que impide que Wannacry se inicie.
A raíz del análisis realizado sobre los múltiples equipos infectados con WannaCry, se descubrió un nuevo malware del tipo cryptocurrency miner conocido como Adylkuzz, que estaba explotando la misma vulnerabilidad en SMBv1 desde el 24 de abril de 2017. Este malware desactivaba SMBv1 para evitar que otro virus infecte el equipo y su único fin es aprovechar los recursos de máquina (CPU y RAM) para generar una criptomodena conocida como Monero, enriqueciendo a los ciberdelincuentes que tienen comprometida la máquina. Toda la información procesada es transmitida a los Command & Control alojados en los siguientes dominios: 08.super5566.com, a1.super5566.com, aa1.super5566.com.
Con respecto a Wannacry los ciberdelincuentes han logrado recaudar hasta la fecha $85,838USD desde el viernes 12 de mayo. Hoy, 19 de mayo, se cumple la fecha límite para que las primeras víctimas del malware paguen el secuestro (600USD) o de lo contrario su información será eliminada. Se espera que para el día de hoy la cifra recaudada se incremente drásticamente.
En lo que concierne a Colombia, en un estudio realizado por la compañía A3SEC sobre el segmento público del país, se pudo identificar alrededor de 1.600 IPs públicas con el servicio SMB expuesto y el sistema operativo Windows, lo que podría hacerlas vulnerables a cualquier de los dos ataques recientes.
Bogotá es la principal ciudad con mayor vulnerabilidad presentando el 53% de equipos expuestos a este virus. Luego, Medellín con un 24% y le sigue Pereira con un 10%. Las ciudades con un riesgo menor son: Bucaramanga con un 4%, Cali con un 3% e Ibagué, Manizales, Barranquilla, Santa Marta y Popayán con tan solo un 1%.
En el mapa actual de infección de Wannacry, podemos ver que algunas de sus variantes siguen registrando actividad, con 866 equipos activos y un total de 300 mil maquinas infectadas, algunas de ellas en Colombia.
Actualización 15-05-2017: Aunque en este momento la campaña de Ransonware WannaCry ya fue controlada, gracias a la acción de MalwareTech (un analista de malware), quien logró desviar el tráfico de los equipos comprometidos a un grupo de servidores dedicados a capturar el tráfico malicioso y prevenir el control de las computadoras infectadas, debemos tener en cuenta que aún son de acceso publico los exploits EternalBlue/DloublePulse que dieron origen a este ataque.
En Colombia hay alrededor de 800 equipos concentrados principalmente en Bogotá, Medellín, Pereira, Cali y Bucaramanga con el servicio SMB expuesto en Internet y que podrían ser atacados si no aplican los parches de seguridad publicados por Microsoft.
De acuerdo a notificaciones recientes Microsoft incluyó a Windows XP dentro de las plataformas con parche para esta vulnerabildiad, un sistema operativo usado aún por algunos usuarios y que se había quedado sin actualizaciones desde Abril de 2014.
De acuerdo al mapa actual de infecciones solo quedan 623 equipos comprometidos reportan actividad.
ACERCA DE A3SEC
A3SEC nace como una empresa derivada de AlienVault en el 2012, con el objetivo de proveer soluciones, servicios profesionales, formación y certificación oficial de productos SIEM, seguridad informática y soluciones Big Data en España y Latinoamérica. La compañía ofrece a sus clientes canales certificados y servicios de valor añadido que aseguran el éxito de sus proyectos.
Pertenece al Grupo TELDAT, multinacional fabricante de dispositivos de networking corporativo, además de tener operaciones y presencia en más de 25 países. Su sede principal se encuentra ubicada en Madrid y cuenta con subsidiarias en Colombia, México y Estados Unidos.
La multinacional española se sirve de la experiencia y conocimientos reunidos a lo largo de los años por su equipo técnico y directivo en el ámbito de la seguridad de la información y, más concretamente, en el ámbito de Security Big Data y el software Open Source relacionado con la seguridad de redes y sistemas. Los ingenieros y consultores, que componen el área técnica, cuentan con una gran trayectoria en la prestación de servicios profesionales a clientes de toda índole, habiendo realizado proyectos, desarrollos, despliegues, operación, soporte y consultoría a lo largo de los últimos 15 años en cinco continentes.
Tiene gran experiencia en despliegues de SOCs (Centros de Operación de Seguridad Informática) en España, Brasil, Perú, Colombia y Estados Unidos. Adicional a esto, tiene proyectos en diferentes sectores, como: financiero, gubernamental, servicios, telecomunicaciones, etc en España y Latinoamérica.
