Como es de público conocimiento hay una amenaza general que está afectando a usuarios y compañías en todo el mundo (http://www.pcworldenespanol.com/2017/05/12/ciberataque-telefonica-se-expandio-otras-empresas-mundo/), esta amenaza es causada por dos componentes:
Un Ransomware que como su nombre lo indica secuestra la información del usuario y pide un rescate de US$300 en 3 días y luego se duplicará el valor del rescate hasta que el 7 días se borrará la información, a este código malicioso lo han denominado “WannaCry”.
Vale la pena mencionar que el sistema de Sandbox de SonicWall – Capture comenzó a detectar esta amenaza desde mediados de abril e inmediatamente se generó una firma de detección como se puede ver en nuestro sistema de alertas:
https://www.mysonicwall.com/sonicalert/SearchResults.aspx?ev=v&v_id=16519
El segundo componente es su método de propagación, el código malicioso se aprovecha de una vulnerabilidad de Microsoft publicada el pasado 14 de marzo relacionada con las carpetas compartidas (MS17-010). La agencia de Seguridad Nacional de los Estados Unidos (NSA) desarrolló un kit de espionaje llamado EternalBlue, el cual aprovechaba esta vulnerabilidad, un grupo activista llamado Shadow Brokers divulgó y colocó a disposición de todo el mundo este kit.
Quien desarrolló WannaCry usó este kit para que el código se propagara como un “Worm” o ”Gusano” es decir ataca a los vecinos usando esta vulnerabilidad y se infiltra sin necesidad de que el usuario ejecute o descargue algún archivo, por eso algunas compañías afectadas pidieron a sus empleados desconectar y apagar sus computadores, hacía ya varios años que no aparecía un gusano con tanto éxito en la internet.
En el caso de Sonicwall el sistema de IPS ya contaba con los mecanismos de detección de ataques a esta vulnerabilidad desde el pasado 20 de abril como igualmente se puede ver en nuestro sistema de alertas:
https://www.mysonicwall.com/SonicAlert/searchresults.aspx?ev=article&id=1032
La solución definitiva para esta amenaza está en cada PC, es tener las actualizaciones de Microsoft activadas y no haber estado vulnerables al MS17-010, pero Sonicwall ayudan a mitigar este tipo de amenazas de manera proactiva, los firewalls de SonicWall ya estaban preparados para afrontar esta amenaza y proteger a sus clientes, los sistemas de apoyo médico de son usualmente vulnerables porque a pesar de estar online no todos son actualizados regularmente por eso esta amenaza ha afectado notoriamente a entidades del sector de la salud.
Por esta razón es muy importante que los usuarios actuales de Sonicwall con equipos Serie 6 o Generación 6 y que no cuentan con el sistema de Sandbox – CAPTURE de Sonicwall, realicen esta actualización en sus sistemas lo antes posible.
Si desean pueden activar un trial del sistema ingresando a www.mysonicwall.com, acceden a visualizar el licenciamiento del equipo y en la Sección “Capture Advanced Threat Protection”, pueden usar el Botón “Try”. Si requieren ayuda por favor no duden en informarnos.
Información relacionada se puede encontrar en los siguientes enlaces:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
https://arstechnica.com/information-technology/2017/05/nhs-ransomware-cyber-attack/
Atte.
GH Corporation