Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1. ¿Qué es un Ransomware?
2. Informe técnico del incidente: 12 de mayo de 2017
3. Recomendaciones técnicas
4. Estado del incidente, seguimiento y próximos pasos
5. El impacto del incidente en Social Media
6. Anexo I: Breve sesión de concienciación y decálogo de buenas prácticas.
Tras el análisis preliminar, sabemos que en el ataque del día 12 de Mayo se han
utilizado al menos 250 muestras de malware distintas, para el cifrado de ficheros
de diferentes extensiones encontrados en las máquinas de la red.
Hasta el momento todas las máquinas de que tenemos constancia han sido
atacadas mediante el exploit ETERNALBLUE, es decir, que otra máquina infectada
dentro de la red interna, ha sido la causante de esta infección.
Por otro lado, todavía no hemos encontrado ningún email relacionado con este
ataque que sugiera una campaña de SPAM masiva, todos los emails analizados
están relacionados con otras campañas de otras familias de Ransomwares que han
sucedido en el mismo momento.
MD5 DB349B97C37D22F5EA1D1841E3C89EB4
SHA1 e889544aff85ffaf8b0d0da705105dee7c97fe26
Tamaño 3.723.264 bytes
Fecha interna 20/11/2010 10:03
Compilador Microsoft Visual C++ 6.0
El código dañino analizado no incluye capas de ofuscación ni implementa técnicas de detección de máquinas virtuales o depuradores.
MD5 84c82835a5d21bbcf75a61706d8ab549
Tamaño 3.514.368 bytes
Fecha interna 20/11/2010 10:05
Compilador Microsoft Visual C++ 6.0
Detalles Archivo ZIP con contraseña "WNcry@2ol7"
Este segundo fichero resulta ser un ZIP autoextraíble protegido con contraseña "WNcry@2ol7" que contiene los
siguientes ficheros:
DB349B97C37D22F5EA1D1841E3C89EB4
m_bulgarian.wnry m_chinese (simplified).wnry
m_dutch.wnry m_english.wnry
Ransomware
m_filipino.wnry m_finnish.wnry
• Fichero ZIP en sus recursos que contiene
m_french.wnry m_german.wnry los componentes necesarios para
m_greek.wnry m_indonesian.wnry funcionar
m_italian.wnry m_japanese.wnry
m_korean.wnry m_latvian.wnry
m_norwegian.wnry m_polish.wnry
m_portuguese.wnry m_romanian.wnry
m_russian.wnry m_slovak.wnry
m_spanish.wnry m_swedish.wnry
m_turkish.wnry m_vietnamese.wnry
ETERNALBLUE aprovecha la vulnerabilidad de SMB (MS17-010) como método de distribución en la red interna, estableciendo una
conexión al puerto TCP 445.
Además de instalarse como servicio, extrae el recurso “R”, que se corresponde con el PE ejecutable del ransomware (MD5:
84c82835a5d21bbcf75a61706d8ab549) y lo copia en “C:\WINDOWS\taskche.exe” para a continuación ejecutarlo con los siguientes parámetros
NOTA: En caso de existir el fichero “C:\WINDOWS\taskche.exe”, lo mueve a C:\WINDOWS\qeriuwjhrf. Suponemos que para soportar múltiples
infecciones y que no tenga problemas a la hora de crear taskche.exe.
Por último añade la siguiente entrada en el registro para garantizar la ejecución mediante el siguiente comando:
Lo primero que hace el ransomware al ejecutarse (tasksche.exe) es autocopiarse dentro de una carpeta aleatoria en el directorio
COMMON_APPDATA del usuario afectado y para ganar persistencia se añade dentro del autorun de la máquina:
• Crea una entrada en el registro cuyo contenido apunta a la carpeta donde se encuentra el ransomware:
o [HKEY_CURRENT_USER\Software\WanaCrypt0r]
o attrib +h +s c:\$RECYCLE
• Vía cmd y el comando echo genera un script VBS, cuya misión es generar un fichero .lnk al descifrador de ficheros.
SET ow = WScript.CreateObject("WScript.Shell")
SET om = ow.CreateShortcut("C:\@WanaDecryptor@.exe.lnk")
om.TargetPath = "C:\@WanaDecryptor@.exe"
om.Save
• Por úlitmo el WannaCry intenta matar procesos de bases de datos con el fin de garantizar el acceso y cifrado de ficheros de bases de datos.
Como podemos observar tanto en la propagación por internet como por la red local acaba llamando a la función RUN_ETERNAL_BLUE,
que será la encargada de enviar el exploit.
'Global\MsWinZonesCacheCounterMutexA'
'Global\MsWinZonesCacheCounterMutexW'
El ransom genera una clave única aleatoria por cada fichero cifrado. Esta clave, de 128bits y empleada con el algoritmo de cifrado AES,
se guarda cifrada con una clave RSA pública en una cabecera personalizada que el ransom añade en todos los ficheros cifrados.
El descifrado de los archivos sólo es posible si se dispone de la clave privada RSA correspondiente a la clave pública empleada para cifrar
la clave AES empleada en los ficheros.
La clave aleatoria AES es generada con la función de Windows, “CryptGenRandom”, que no contiene debilidades conocidas, con lo que
actualmente no es posible desarrollar ninguna herramienta para descifrar estos ficheros sin conocer la clave privada RSA utilizada durante
el ataque.
• Añade una cabecera con la clave AES cifrada con la clave publica RSA que lleva la muestra.
Por cada directorio que el ransomware ha terminado de cifrar, genera los mismo dos ficheros:
@Please_Read_Me@.txt
@WanaDecryptor@.exe
• gx7ekbenv2riucmf.onion
• 57g7spgrzlojinas.onion
• xxlvbrloxvriy2c5.onion
• 76jdd2ir2embyv47.onion
• cwwnhwhlz52maqm7.onion
• https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
• https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
• https://blockchain.info/es/address/1BANTZQqhs6HtMXSZyE2uzud5TJQMDEK3m
• https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
• C:\WINDOWS\mssecsvc.exe
• C:\WINDOWS\mssecsvc.exe -m security
• C:\WINDOWS\tasksche.exe /i
• cmd.exe /c "C:\ProgramData\dqzdvrnqkzci137\tasksche.exe"
• C:\ProgramData\dqzdvrnqkzci137\tasksche.exe
• @WanaDecryptor@.exe fi
C:\WINDOWS\mssecsvc.exe
C:\WINDOWS\mssecsvc.exe -m security
C:\WINDOWS\tasksche.exe /i
cmd.exe /c "C:\ProgramData\dqzdvrnqkzci137\tasksche.exe"
C:\ProgramData\dqzdvrnqkzci137\tasksche.exe
@WanaDecryptor@.exe fi
Apéndice F – Persistencia
• Servicio:
o Nombre: mssecsvc2.0
o Descripción: “Microsoft Security Center (2.0) Service”
Clave de registro creada (autorun):
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\obsbeuqp321
C:\WINDOWS\system32\tasksche.exe\"" /f
• 'Global\MsWinZonesCacheCounterMutexA'
• 'Global\MsWinZonesCacheCounterMutexW'
• En este caso es imperativo parchear las máquinas vulnerables para impedir la explotación de la vulnerabilidad de
SMB. Recomendamos asegurar que el parche https://technet.microsoft.com/en-us/library/security/ms17-
010.aspx está aplicado en todos los equipos de vuestro parque, cerrando así la puerta a este tipo de
explotaciones.
• Se recomienda filtrar las conexiones entrantes a puertos empleados por el protocolo SMB (137 y 138 de UDP y
puertos 139 y 445 de TCP) desde equipos externos a la red. De forma general, estos puertos nunca deberían estar
publicados fuera de las redes corporativas. Dentro de la red corporativa, se pueden filtrar como medida de
urgencia para limitar la propagación del malware, pero son puertos necesarios para el correcto funcionamiento de
los entornos Windows corporativos.
• Adicionalmente, y siempre que no se esté utilizando por compatibilidad hacia atrás, se recomienda deshabilitar el
protocolo SMB en su versión 1.0. En la nota de Technet de Microsoft enlaza anteriormente se detalla en el apartado
“workaround” el procedimiento.
o Windows XP
o Windows 2003
o Windows 7
© 2017 Deloitte Advisory, S.L.
o Windows 8.1
o Windows RT 8.1
o Windows 10
• Se recomienda además incluir en los bloqueos de red el acceso a redes Tor, que empleaba el malware para su
comunicación con sus Command & Control.
• También se recomienda habilitar el acceso a las siguientes URL para activar el mecanismo de contención
implementado en el propio malware (conocido como kill switch) que evitará que se ejecute en la mayoría de las
muestras conocidas hasta el momento.
• www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
• www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
• Recomendamos que como medida de contención adicional activéis el modo LOCK en todos los perfiles de vuestro
parque.
• Realizar una auditoria interna para averiguar dónde ha comenzado el ataque, con el objetivo de asegurar esta vía
de entrada y otras similares, para tener una red segura.
© 2017 Deloitte Advisory, S.L.
Estado del incidente, seguimiento y
próximos pasos
A pesar de que la primera noticia al respecto correspondía a la infección a Telefónica España, pronto se confirmó que incluso
la red de hospitales de UK había sido afectada:
https://www.theguardian.com/society/2017/may/12/hospitals-across-england-hit-by-large-scale-cyber-attack
A continuación puede observarse el mapa de infecciones de WannaCry, donde podemos observar la cantidad de infecciones
realizadas en todo el mundo:
5 6
Durante el fin de semana aparecieron más muestras en las que se había eliminado o
modificado dicho dominio. El nuevo dominio cambiaba sólo 2 carácteres respecto al
anterior: hxxp://www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
La muestra sin dominio no es funcional al 100%, ya que parece que sólo es capaz de propagarse y no infectar equipos
debido a que la parte correspondiente al malware está corrupta.
© 2017 Deloitte Advisory, S.L.
Situación actual y posibles futuras variantes
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-
wannacrypt-attacks/?utm_source=t.co&utm_medium=referral
• Sobre muestras a futuro, según lo visto parece que hay 2 partes muy diferenciadas en este malware:
1. Spreader (distribuidor)
2. Ransomware
• Con respecto a la primera parte, tenemos la sensación de que se trata de algo creado para distribuir
cualquier ejecutable, por lo que a futuro podríamos ver otro Ransomware/Malware distribuido mediante
las vulnerabilidades previamente mencionadas.
• También es posible que veamos la misma muestra pero con técnicas de evasión de firmas AV como
crypters/packers y muestras sin la comprobación del dominio totalmente funcionales capaces de
propagarse e infectar equipos.
• La conversación vira desde las empresas afectadas durante el día 12, hacia la
generación y difusión de awareness del ataque, medidas preventivas y de seguridad,
las 2 variantes detectadas, el denominado por los medios “héroe accidental” de
Malware Tech, así como la búsqueda de culpables, con la acusación a través de
Twitter de Snowden y supuesta confirmación de Microsoft contra la “ciber arma”
desarrollada por la NSA.
GENERALES. • Las últimas informaciones apuntan a la segunda oleada del ataque, generando un
incremento de la conversación en el día 15, cuando el buzz estaba viéndose
*Datos obtenidos a través de la monitorización del disminuido. Esta oleada parece centrarse en ataques en Asia, especialmente la India.
conflicto en Social Media (medios de comunicación
online, websites especializadas, foros, blogs y Sin embargo, no se detecta durante el día de hoy que ninguno de los conceptos sea
redes sociales). tendencia en España o a nivel global.
Paises afectados. La noticia hipervinculada lista
Según fuentes actualizadas, el volumen de las empresas locales más
países asciende a 150 y 200.000 máquinas afectadas de UK, India, Rusia,
infectadas. Japón, Alemania, China,
Se siguen mencionando como países más España y empresas globales.
afectados Rusia, Ucrania, India y Taiwán.
Se detecta un cambio de
Con respecto al impacto geográfico y la tendencia respecto al día 12.
comparativa con el mapa de calor de la Mientras entonces los mapas
conversación del pasado 12 de mayo, se que mostraban el volumen de
observa cómo el tema se expande a todo el los ataques dirigidos eran los
globo y los países previamente presentes protagonistas, ahora se
generan aún más conversación. una mayor detecta un gran volumen de Fuente: Trendsmap
Destaca la alta participación de USA, publicaciones que difunden el
España, UK, Indonesia, Hong Kong, Mexico, mapa de la empresas más
Bolivia y Centroeuropa. afectadas por país.
Conceptos más presentes y evolución
La evolución tiene una tendencia regular, definida por un origen
del incidente el día 12 - boom en la conversación - primero en
países afectados, y extendiéndose en horas y
día posterior a todo el globo; un incremento de la conversación
el 13, muy enfocado en los daños generados,
y un descenso común el día 14. Sin embargo, los últimos
hitos generan un mantenimiento y ligero incremento de la
conversación el lunes 15.
Conversación en Twitter
Fuente: Brandwatch
A continuación encontramos los evolutivos globales y
concretamente de Twitter, así como la topic cloud, que incluye
los términos más representativos. Como se puede observar,
gana presencia el nombre del ataque, se destaca la expansión
global de mismo, se habla del héroe accidental y se detecta la
presencia de algún país e Institución afectada, aunque sin tanta
notoriedad como en el día 12 de mayo.
Conversación en Twitter
Fuente: Trendsmapp
© 2017 Deloitte Advisory, S.L.
Conceptos más presentes y evolución
A continuación se presenta un desglose de los conceptos y hashtags asociados más presentes en la conversación. Con respecto al último informe, pierde
relevancia la presencia de Telefónica como empresa afectada, y obtiene un mayor impacto el nombre propio del ataque. Sin embargo, NHS sigue teniendo
un peso muy representativo sobre el conjunto de conversación.
#NHS #WannaCry
#Ransomware #Ciberataque
Deloitte presta servicios de auditoría, consultoría, asesoramiento financiero, gestión del riesgo, tributación y otros servicios relacionados, a clientes públicos y privados en un
amplio número de sectores. Con una red de firmas miembro interconectadas a escala global que se extiende por más de 150 países y territorios, Deloitte aporta las mejores
capacidades y un servicio de máxima calidad a sus clientes, ofreciéndoles la ayuda que necesitan para abordar los complejos desafíos a los que se enfrentan. Los más de 225.000
profesionales de Deloitte han asumido el compromiso de crear un verdadero impacto.
Esta publicación contiene exclusivamente información de carácter general, y ni Deloitte Touche Tohmatsu Limited, ni sus firmas miembro o entidades asociadas (conjuntamente,
la “Red Deloitte”), pretenden, por medio de esta publicación, prestar un servicio o asesoramiento profesional. Antes de tomar cualquier decisión o adoptar cualquier medida que
pueda afectar a su situación financiera o a su negocio, debe consultar con un asesor profesional cualificado. Ninguna entidad de la Red Deloitte será responsable de las pérdidas
sufridas por cualquier persona que actúe basándose en esta publicación.