Se trata de un ataque masivo de ransomware conocido como Wana Decryptor
El Centro de Seguridad y Vigilancia Digital de A3SEC alertó de un ataque masivo de ransomware contra varias empresas, el cual consiste en explotar una vulnerabilidad publicada por Microsoft el 14 de marzo de 2017, que ejecuta un código remoto al enviar un mensaje manipulado al servicio SMBv1.
La compañía dio una serie de recomendaciones en caso de haber recibido este ciberataque; de inicio, se debe identificar si hay equipos vulnerables con InsightVM (Nexpose) utilizando la firma CVE-2017-0143 MS17-010 SMB RCE Detection y en seguida validar el segmento público para identificar servicios SMB expuestos.
Posteriormente es necesario instalar en los equipos vulnerables el boletín MS17-010 (Kb 4013389). Filtrar en el firewall perimetral los servicios SMB expuestos.
Si el antivirus tiene la capacidad de identificar archivos maliciosos por hash, hay que hacer un barrido en todos los endpoints y servidores buscando el hash b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25 y ponerlo en cuarentena.
Asimismo, es menester mantenerse actualizado sobre los avances que hay para solucionar el problema, muchas empresas de seguridad están uniendo esfuerzos a través del proyecto www.NoMoreRansom.org #nomoreransom y mantienen actualizada la aplicación CRYPTO SHERIFF para descifrar archivos secuestrados por ransomware.
Por último, hay que actualizar el antivirus y desplegar un escaneo masivo, asegurarse previamente de que el fabricante ya cuenta con una firma para detectarlo.