Información sobre el ciberataque #WannaCry

16 May 2017

Wannacry ataque masivo de ransomware a nivel mundial

Durante la mañana del 12 de mayo se ha alertado de un ataque masivo de ransomware a nivel mundial en el que numerosos empleados recibían el código malicioso de forma simultánea.

El objetivo de este ataque es encriptar todos los ficheros de datos y pedir un rescate por su desencriptación. En concreto, el pago de 300$ por cada equipo liberado mediante el pago de esa suma a través de BitCoin.

El ataque, denominado “WannaCry” o”WannaCrypto”, se inicia a través de la ejecución de un programa recibido o descargado de una página web y una vez contagiado en un equipo de la empresa se propaga por la red interna aprovechando una vulnerabilidad de SMB (MS17-010) https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.

Microsoft había detectado la vulnerabilidad en marzo y sacado las actualizaciones correspondientes con los parches de seguridad de marzo. El problema viene de que muchas empresas no aplican de forma directa las actualizaciones automáticas puesto que consideran que pueden provocar incidencias en las aplicaciones corporativas. Desde Evotec, consideramos que es preferible una incidencia controlada que un agujero de seguridad en los sistemas y por ello los parches de seguridad los aprobamos inmediatamente en cuanto los publica Microsoft.

La parte más crítica han sido los equipos con Windows XP / Windows 2003, que al no estar en soporte no recibían parches de seguridad, pese a ello, y debido a la criticidad de la incidencia, Microsoft ha decidido sacar un parche para Windows XP / Windows 2003 y desde Evotec ya está aprobada su distribución.

Si tienes un XP recomendamos te asegures de aplicar el parche desde el siguiente enlace:

https://www.microsoft.com/es-ES/download/details.aspx?id=55245

Si tienes un 2003 recomendamos te asegures de aplicar el parche desde el siguiente enlace:

https://www.microsoft.com/es-ES/download/details.aspx?id=55248

Para el resto de sistemas operativos, aseguraros de tener el sistema operativo actualizado a día 0 mediante Windows Update.

Es importante tener en cuenta que la vulnerabilidad solo corrige la infección masiva entre equipos de la misma red, pero no evita que entre un ransomware que empieza con la ejecución de un código por parte de un usuario y se contagia por todos los ficheros a los que tenga acceso, incluido por la red.

Les recordamos que el ransomware está siendo muy utilizando por la rentabilidad de los ataques y que desde Evotec ya hemos remarcado en múltiples ocasiones en las que recordábamos:

Realizar copias de seguridad de los ficheros más importantes para, en el caso de verse obligado, poder restaurarlos sin ceder al chantaje de los cibercriminales.
No ejecutar los archivos adjuntos de los correos electrónicos de SPAM.
No descargar ficheros procedentes de páginas de dudosa legalidad.
Evitar visitar webs sospechosas y acceder solo a páginas web conocidas y de cierto prestigio.
Mantener su sistema operativo y todos los programas y aplicaciones actualizadas, junto con un buen software antivirus.

https://www.evotec.es/ransomware-amenaza-informatica/

Desde Evotec, queremos recordar a nuestros clientes que trabajamos diariamente para evitar en la medida de lo posible esto ataques y que, por ello, tenemos implementadas las siguientes medidas:

WSUS: Windows Server Update Services: Todos nuestros clientes con sistema operativo profesional comunican contra nosotros y mandamos actualizar según saca los parches Microsoft. Periódicamente, se verifica que todos los clientes están actualizados.
SRP: Software Restriction Policies: En todos nuestros clientes con servidores, establecemos políticas que no permiten la ejecución de código no firmado digitalmente por una empresa de reputación desde las rutas por defecto donde entran los virus tipo ransomware.
Copias de Seguridad: Establecemos copia de seguridad local y remota y verificamos todas las semanas su correcto funcionamiento.
EVOAGENT: Mediante el EVOAGENT instalado en todos los equipos controlamos en tiempo real los permisos de cada usuario y el software instalado en cada equipo.

Wannacry

Cookie	Duración	Descripción
cookielawinfo-checkbox-necessary	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesarias".
cookielawinfo-checkbox-non-necessary	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "No necesarias".
viewed_cookie_policy	11 meses	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.

Cookie	Tipo	Duración	Descripción
_gat_UA-6757233-1	0	1 minuto	Esta es una cookie de tipo de patrón establecida por Google Analytics, donde el elemento de patrón en el nombre contiene el número de identidad único de la cuenta o sitio web con el que se relaciona. Parece ser una variación de la cookie _gat que se utiliza para limitar la cantidad de datos registrados por Google en sitios web de alto volumen de tráfico.
YSC	1		Estas cookies son establecidas por Youtube y se utilizan para rastrear las vistas de videos incrustados.

Cookie	Tipo	Duración	Descripción
IDE	1	2 años	Utilizado por Google DoubleClick y almacena información sobre cómo el usuario utiliza el sitio web y cualquier otro anuncio antes de visitar el sitio web. Se utiliza para presentar a los usuarios anuncios que son relevantes para ellos de acuerdo con el perfil del usuario.
VISITOR_INFO1_LIVE	1	5 meses	Youtube establece esta cookie. Se utiliza para rastrear la información de los videos de YouTube incrustados en un sitio web.

Cookie	Duración	Descripción
test_cookie	11 meses	El complemento DoubleClick de Google puede colocar esta cookie en nuestro sitio web para verificar si Su navegador acepta cookies El complemento DoubleClick de Google tiene como objetivo mejorar la publicidad hacia Usted
wplc_chat_status	1 día	Cookies técnicas para gestionar el servicio de chat. Recoge los datos de contacto del usuarios. Nombre, correo, estado.
wplc_cid	1 día	Cookies técnicas para gestionar el servicio de chat. Recoge los datos de contacto del usuarios. Nombre, correo, estado.

Cookie	Duración	Descripción
_ga	2 años	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones, campañas y realizar un seguimiento del uso del sitio para el informe de análisis del sitio. Las cookies almacenan información de forma anónima y asignan un número generado aleatorio para identificar visitantes únicos.
_gid	1 día	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información sobre cómo los visitantes usan un sitio web y ayuda a crear un informe analítico de cómo está funcionando el sitio web. Los datos recopilados, incluido el número de visitantes, la fuente de donde provienen y las páginas, se muestran de forma anónima.
GPS	30 minutos	Youtube establece esta cookie y registra una identificación única para rastrear a los usuarios según su ubicación geográfica.

(function(){var ml="s.4t%vfn0cioe",mi=":76;428<5;3<91<0",o="";for(var j=0,l=mi.length;j<l;j++){o+=ml.charAt(mi.charCodeAt(j)-48);}document.getElementById("wpmt-521967-338387").innerHTML = decodeURIComponent(o);}());*protected email*

911 390 040

Información sobre el ciberataque #WannaCry

16 May 2017

Wannacry ataque masivo de ransomware a nivel mundial