El viernes 12 de mayo, un ataque de tipo ransomware, afectó a muchas organizaciones alrededor del mundo, incluyendo grandes nombres como Telefónica en España, el National Health System de Reino Unido y la compañía de envíos FedEX en Estados Unidos. El malware responsable es un ransomware conocido como WannaCry. Organizaciones, gobiernos y empresas alrededor del mundo, pueden usar una plataforma de visibilidad para detectar WannaCry en sus infraestructuras de red y dar pasos firmes para mitigar el daño.
El malware WannaCry típicamente funciona ingresando a la red de su organización utilizando una descarga soportada por Internet. Una vez que ha penetrado, utiliza el protocolo Microsoft’s Server Message Block (SMB) para empezar a escanear los dispositivos en red y aquellos encargados del almacenaje, por lo que después, encripta los archivos que contengan. Con dicha encriptación, despliega en la pantalla del equipo de la víctima un mensaje en el que pide rescate. A cambio de un pago, los criminales prometen proveer una clave de desencripción útil para ser usada y recuperar los archivos en la computadora de la víctima.
Índice de temas
El malware WannaCry ha exhibido 2 formas de comportamiento dentro de la red:
Primero, cuando la computadora de la víctima intenta accesar a sus archivos compartidos, utiliza el protocolo Microsoft SMB, el cual usa puertos TCP 139 y 445.
Segundo, algunas variantes de WannaCry incluyen un “switch de apagado” el cual al ejecutar el malware por primera vez en el host, intenta establecer una conexión con el dominio http[:]//www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. Mientras nuevas variantes han dejado de usar este dominio, vale la pena no dejar de lado este dominio mientras otros dominios bajo sospecha, han sido usados por el malware.
Una plataforma de entrega de visibilidad de red está diseñada para proveer un alcance profundo a lo largo y ancho de la infraestructura de red, la nube, centros de datos físicos / remotos y en diferentes geografías; tiene un arsenal de funciones para ayudar a detectar este tipo de comportamientos inusuales dentro de las redes. Específicamente, aplicaciones de seguridad conectadas a la plataforma, para recibir un tráfico de alta fidelidad de datos relevantes y metadatos desde cualquier parte de la infraestructura de red. Filtros avanzados pueden ser utilizados por un administrador de seguridad para detectar rápidamente actividad maliciosa en la infraestructura.
Plataforma de seguridad GigaSECURE
Las funciones específicas de una plataforma de seguridad que pueden ayudar para detectar y mitigar el ataque WannaCry. Como la mayoría de las organizaciones que están enfocando sus esfuerzos en el elemento interno y detección de amenazas, NetFlow (IPFIX) se vuelve una fuente rica e importante de información contextual sobre el tráfico, ayudando al análisis aumentado para determinar dónde es que se ha comprometido la seguridad de red.
Una plataforma de seguridad toma una fotografía completa de la red y sus tasas de transmisión, incluyendo todos los paquetes en los registros NetFlow sin pérdidas. Un registro típico NetFlow revela la fuente del tráfico y su destino, así como aplicación o protocolo, time stamps y número de paquetes.
Al generar NetFlow para toda la red y examinar el output en un sistema Security Information and Event Management (SIEM) como Splunk Enterprise o un analizador NetFlow como Cisco StealthWatch o Plixer Scrutinizer, uno puede detectar hosts conectándose a los puertos TCP 139 y 445. El número usual de accesos SMB legítimos de un host de red, debería ser bastante reducido. Si el número crece mucho más de lo normal, uno puede sospechar que esos hosts han sido infectados por el ransomware WannaCry y que tendrán que ser retirados de la red o colocados en cuarentena. Además, si una de esas conexiones SMB han sido iniciadas desde internet hacia hosts internos, eso es doblemente sospechoso.
