Desde el Centro de Respuestas ante Incidentes Cibernéticos (Cert-Py), de la Secretaría Nacional de Teconología de la Información (Senatics), lanzaron éste sábado una alerta especial para evitar que a nivel local haya equipos afectados por la ola mundial de ciberataques registrada ayer.

En el comunicado, se indica que si bien los casos de infección por ransomware no son nada nuevo, y ocurren a diario aquí y en todas partes del mundo, este ransomware ha cobrado notoriedad debido a su rápida diseminación, alcanzando una gran cantidad de víctimas en pocas horas.

Se aclara que el ransomware es un tipo de software malicioso (malware) que infecta un dispositivo y restringe el acceso al mismo, en la mayoría de los casos, encriptando documentos personales hasta que la víctima pague un "rescate" exigido por el malware para desencriptarlos. Se puede transmitir de diversas formas. En el caso particular de la campaña de distribución de WannaCry se sospecha que ha sido mediante correos electrónicos con archivos adjuntos maliciosos.

WannaCry explota una vulnerabilidad de ejecución remota de código a través de Samba (SMB), pudiendo de esta manera propagarse, afectando al resto de sistemas Windows conectados en esa misma red que no estén debidamente actualizados. De esta manera, la infección de un solo equipo podría llegar a comprometer a toda la red corporativa. El análisis preliminar del código del ransomware indica que para explotar esta vulnerabilidad utiliza un exploit conocido como EternalBlue, publicada en abril por un grupo denominado Shadowbrokers.

En dicho comunicado Senatics aclara que también en Paraguay se ha observado actividad de WannaCry. De los incidentes relacionados a malware, alrededor del 80% de los reportes de los últimos dos años son casos de ransomware: CryptoWall, Locky, Cryptolocker, Zepto, Crysis, Wallet y muchos otros. Los casos afectan a todos los sectores: empresas, instituciones gubernamentales, instituciones finacieras, centros educativos, ciudadanos particulares.

Al quedar infectado por WannaCry, el ransomware inmediatamente encripta y añade la extensión ".WCRY". El ransomware encripta varios tipos de archivos: de ofimática, archivadores, fotos, videos, multimedia, correos, bases de datos, códigos fuentes, proyectos y archivos relacionados a desarrollo, certificados y claves, archivos de diseño gráfico, máquinas virtuales, entre otros.

Luego de encriptar todos los archivos, el ransomware se comunica con los servidores para enviar las claves y luego ejecuta un comando para borrar todas las instantáneas de recuperación (Shadow Volume Copies), de manera que no se pueden utilizar para restaurar los archivos de la víctima.

Al finalizar esto, el ransomware despliega un mensaje indicando que los todos los archivos se han cifrado y mostrando en pantalla las instrucciones para pagar el rescate y recuperar los archivos. Además, establece un mensaje de alerta como fondo de pantalla. El pago exigido es en bitcoins, en algunas variantes se exige 0.16 BTC, equivalente a 300 USD aproximadamente, y en otras variantes se exige 0.32 BTC (600 USD).

• No abrir nunca correos sospechosos, tanto si vienen de usuarios conocidos como desconocidos. Asegurarse siempre de que la persona que le ha enviado el correo realmente le quería remitir ese adjunto.
• Evitar abrir los archivos adjuntos sospechosos. Incluso los archivos aparentemente inofensivos, como los documentos de Microsoft Word o Excel, pueden contener un malware.
• No ingresar a enlaces dudosos que le son enviados a través de correo electrónico, servicios de mensajería, redes sociales, etc.
• Realizar copias de seguridad (backup) de toda la información crítica para limitar el impacto de la pérdida de datos o del sistema y para facilitar el proceso de recuperación. Idealmente, estas copias deben hacerse de forma regular y deben mantener en un dispositivo independiente (disco duro externo, o servicios en la nube como OneDrive, Dropbox, etc.)
• Contar con soluciones de antivirus/firewall y mantenerlo actualizado, de modo a prevenir la infección.
• Mantener su sistema operativo y el software siempre actualizado, con los últimos parches.
• No acceder nunca a ningún pago u acción exigida por el atacante.

• Actualizar los sistemas vulnerables o aplicar el parche publicado. Para los sistemas sin soporte o parche se recomienda aislar de la red y/o apagar.
• Actualizar y/o incluir firmas en su antivirus e IDS.
• Controlar y/o aislar la comunicación a los puertos 137 y 138 UDP y puertos 139 y 445 TCP en las redes de las organizaciones.
• Descubrir qué sistemas, dentro de su red, pueden ser susceptibles de ser atacados a través de la vulnerabilidad mencionada, en cuyo caso, puedan ser aislados, actualizados y/o apagados. Para ello, puede seguir la siguiente guía: https://www.rapid7.com/db/modules/auxiliary/scanner/smb/smb_ms17_010