Plataforma de seguridad para detectar huéspedes infectados por WannaCry

0
3

Por Jorge Herrerías, CISSP, Lead Sales Engineer – LATAM

 

El viernes 12 de mayo, un ataque de tipo ransomware, afectó a muchas organizaciones alrededor del mundo, incluyendo grandes nombres como Telefónica en España, el National Health System de Reino Unido y la compañía de envíos FedEX en Estados Unidos. El malware responsable es un ransomware conocido como WannaCry. Organizaciones, gobiernos y empresas alrededor del mundo, pueden usar una plataforma de visibilidad para detectar WannaCry en sus infraestructuras de red y dar pasos firmes para mitigar el daño.

El malware WannaCry típicamente funciona ingresando a la red de su organización utilizando una descarga soportada por Internet. Una vez que ha penetrado, utiliza el protocolo Microsoft’s Server Message Block (SMB) para empezar a escanear los dispositivos en red y aquellos encargados del almacenaje, por lo que después, encripta los archivos que contengan. Con dicha encriptación, despliega en la pantalla del equipo de la víctima un mensaje en el que pide rescate. A cambio de un pago, los criminales prometen proveer una clave de desencripción útil para ser usada y recuperar los archivos en la computadora de la víctima.

El malware WannaCry ha exhibido 2 formas de comportamiento dentro de la red:

Primero, cuando la computadora de la víctima intenta accesar a sus archivos compartidos, utiliza el protocolo Microsoft SMB, el cual usa puertos TCP 139 y 445.

Segundo, algunas variantes de WannaCry incluyen un “switch de apagado” el cual al ejecutar el malware por primera vez en el host, intenta establecer una conexión con el dominio http[:]//www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. Mientras nuevas variantes han dejado de usar este dominio, vale la pena no dejar de lado este dominio mientras otros dominios bajo sospecha, han sido usados por el malware.

Una plataforma de entrega de visibilidad de red está diseñada para proveer un alcance profundo a lo largo y ancho de la infraestructura de red, la nube, centros de datos físicos / remotos y en diferentes geografías; tiene un arsenal de funciones para ayudar a detectar este tipo de comportamientos inusuales dentro de las redes. Específicamente, aplicaciones de seguridad conectadas a la plataforma, para recibir un tráfico de alta fidelidad de datos relevantes y metadatos desde cualquier parte de la infraestructura de red. Filtros avanzados pueden ser utilizados por un administrador de seguridad para detectar rápidamente actividad maliciosa en la infraestructura.

DEJA UNA RESPUESTA