Hace un rato el CCN-CERT (centro criptografico nacianal) informaba de un ataque masivo de ransomware que esta afectando a un elevado número de organizaciones españolas. Éste rawswere afecta a sistemas Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows que haya en esa misma red.
Otras empresas afectadas están empezando a pagar el rescate por el ransomware
El ransomware es una versión de WannaCry que infecta la máquina cifrando todos sus archivos. Esto es posible ya que utiliza una vulnerabilidad de ejecución de comandos remota a través de SMB y se distribuye al resto de máquinas Windows que haya en esa misma red.
Los sistemas afectados son:
- Microsoft Windows Vista SP2
- Windows Server 2008 SP2 and R2 SP1
- Windows 7
- Windows 8.1
- Windows RT 8.1
- Windows Server 2012 and R2
- Windows 10
- Windows Server 2016
Hay gente que esta pagando los rescates?
Parece que si, estamos viendo mucho movimiento en la Blockchain. Hemos tenido acceso a información sobre la cartera a la que hay que enviar el pago de Bitcoins que sale en el código fuente:
Hemos visitado blockchain.info y nos hemos encontrado con un total de 5 pagos a esa cartera de bitcoin por valor de 1.565,30 dolares.
¿A cuánto asciende actualmente el número de ataques?
Según la información de Avast han detectado más de 30,000 ataques a nivel mundial, las zonas en rojo son las más afectadas, pero esta infección sigue creciendo.
Sabemos que a muchas empresas o particulares están sufriendo ataque al puerto 445 que es el puerto de samba en Windows y que sirve para compartir archivos en red.
Aquí podéis ver algunos reportes del Firefaware donde podemos ver que la vulnerabilidad que se esta explotando Eternalblue que era un exploit de la nsa que libero Shadow Brokers. Exactamente para este ataque se esta usando una versión mejorada del mismo.
Aquí podeis ver la diferencia entre los procesos reales y los falsos del ransomware.
