14 de mayo de 2017.- El virus malicioso propagado por internet a nivel mundial durante la ultima semana afectando a empresas de Europa, Asia y los Estados Unidos de América, llegó a México con la variante WannaCry el cual es una grave amenaza para los sistemas computacionales el cual podría activarse en miles de equipos de compañías nacionales.
Los sistemas en Peligro son: Microsoft Windows, Microsoft Windows, Vista SP2, Windows Server 2008 SP2 y R2 SP1, Windows 7, Windows 8.1, Windows RT 8.1, Windows Server 2012 y R2, Windows 10 , y Windows Server 2016.
La alerta fue hecha durante el fin de semana, por la Policía Federal División Científica, a través de la Coordinación para la Prevención de los Delitos Electrónicos.
El malware infecta el equipo cifrando todos sus archivos y, utilizando la vulnerabilidad mencionada, la cual permite la ejecución remota de código a través del servicio de Samba (SMB) y se distribuye al resto de equipos Windows de la misma red.
De acuerdo con la información compartida con Equipos de Seguridad Cibernética y Agencias de Seguridad Informática, se identificaron direcciones electrónicas IP de donde aparentemente se originaron los primeros ataques, las cuales se comparten a través de la siguiente tabla.
37560 197.231.221.211 CYBERDYNE Liberia, LR
3 128.31.0.39 MIT-GATEWAYS – Massachusetts Institute of Technology Estados Unidos, US
16276 149.202.160.69 OVH Francia, FR
14061 201229 46.101.166.19 DIGITALOCEAN-ASN – Digital Ocean, Inc.
DIGITALOCEAN-GERMANY
Estados Unidos, US Alemania, DE
El impacto que puede tener de acuerdo con el reporte de la policía Científica, es cuando un equipo es comprometido a través de un ransomware, la información es secuestrada por un ciberdelincuente, el cual solicita un pago para su rescate, por lo que se pone en riesgo la confidencialidad, integridad y disponibilidad de la información.
Las recomendaciones son las siguientes:
No abrir archivos adjuntos que provengan de remitentes desconocidos.
Aplicar la actualización de seguridad recomendada por Microsoft Corp.
Para los sistemas sin soporte se recomienda aislar los equipos de la red de
producción.
Aislar la comunicación a los puertos 137 y 138 UDP y puertos 139 y 445 TCP
en las redes de las organizaciones.
Identificar los equipos, dentro de su red, que pueden ser susceptibles de ser
atacados a través de Microsoft Windows, en cuyo caso, puedan ser aislados,
actualizados y/o apagados.
Se recomienda realizar un filtro a nivel perímetro de red de las direcciones
electrónicas IP mencionadas anteriormente.
