El CCN-CERT acaba de hacer balance y asegura que sus primeros casos se detectaron en empresas ubicadas en Ucrania y afectó posteriormente a algunas multinacionales con sede en España (el CERT Gubernamental Nacional no ha detectado ningún organismo del Sector Público o empresa estratégica española afectada).
Concluyen que el código dañino utilizado es más sofisticado que en el caso de WannaCry y, en esta ocasión, podría tratarse de un ataque más dirigido ya que la detección inicial del mismo fue localizada con una rápida expansión posterior. Además, da la sensación de que el agresor no parece pretender obtener un beneficio económico, sino perjudicar a las víctimas, ya que no ha adoptado las medidas habituales para conseguir el anonimato y la disponibilidad del servicio de cobro propia de otras campañas de cibercrimen.
Y lo que es esclarecedor es que han comprobado que el proveedor de servicio de Internet ha bloqueado la dirección de correo utilizada para el pago del rescate, por lo que las víctimas no pueden obtener las claves de recuperación al inhabilitar la vía de comunicación con el atacante.
Software objetivo y métodos de infección
Los sistemas operativos objetivo son los sistemas Windows y como hipótesis de vectores de infección se han planteado dos posibilidades (por confirmar): •La primera consistiría en un correo electrónico de spear phishing con un fichero adjunto que explotaría la vulnerabilidad de Microsoft (CVE-2017-0199) •La segunda opción podría ser a través una actualización dañina de un programa comercial destinada al ámbito financiero. Tras la infección inicial en un equipo, el código dañino intenta obtener privilegios y continúa con un reconocimiento de la red local en busca de otras máquinas para propagarse usando diferentes vías como: •La ejecución remota con “psexec” a través de carpetas compartidas. •La ejecución remota con “wmic”, con extracción de credenciales mediante el uso de parte del código de “mimikatz” en el equipo inicialmente comprometido. •La explotación de las vulnerabilidades asociadas a ETERNALBLUE (Microsoft MS 17-010), también usado por WannaCry para ejecutar código. En las pruebas realizadas en sistemas Windows 10 con privilegios de administrador, el código dañino es detectado y bloqueado por Windows Defender. Prevención (Vacuna) Tal y como ha informado el investigador Amit Serper (0xAmint), para evitar la infección por una de las variantes conocidas existe la opción de crear en el equipo varios ficheros (con los nombres perfc.dat, perfc.dll y perfc) en la carpeta c:\Windows. De esta manera el binario interpreta que ya tiene la librería infectada y detiene el procedimiento de infección.
Prevención (Vacuna)
Tal y como ha informado el investigador Amit Serper (0xAmint), para evitar la infección por una de las variantes conocidas existe la opción de crear en el equipo varios ficheros (con los nombres perfc.dat, perfc.dll y perfc) en la carpeta c:\Windows. De esta manera el binario interpreta que ya tiene la librería infectada y detiene el procedimiento de infección.
El investigador lo lanzó ayer en un Tweet: https://twitter.com/0xAmit/status/879764284020064256
