Análisis del impacto de la campaña WannaCry en España

  • El CCN-CERT, en los cinco primeros días del ataque, ha detectado 239 direcciones IP(*)  en contacto con uno de los  dominios dañinos identificados: www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
  • Se tiene constancia, además, de la existencia de 2.774 direcciones IP, con origen en España, vulnerables todavía al exploit utilizado, aprovechando el fallo de los sistemas Windows ya solucionados por Microsoft con un parche.

Tal y como ha observado el equipo de expertos del CCN-CERT desde que se comenzó la campaña del ransomware WannaCry, a primeras horas del 12 de mayo, la infección de un equipo se produce mediante otra máquina infectada, utilizando el exploit que aprovecha la vulnerabilidad de Microsoft (MS17-010). Una vez ejecutado el código dañino comprueba la existencia de un dominio en Internet. Si existe y además puede acceder al mismo por HTTP, finaliza su ejecución.

Una vez descubierto el dominio www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com relacionado con el ransomware, el CERT Gubernamental Nacional ha constatado, hasta el día de hoy (cinco días después del inicio de la campaña), 239 direcciones IP, con origen en España, que han intentado contactar con el citado dominio.

Direcciones IP todavía vulnerables

Por otro lado, y de acuerdo con las investigaciones que se mantienen abiertas por el CCN-CERT, a 16 de mayo de 2017), todavía existían 2.774 direcciones IP vulnerables al exploit utilizado. Este programa, tal y como se recordará, aprovechaba la vulnerabilidad de algunos sistemas Windows y cuyo parche publicó Microsoft el 14 de marzo (MS17-010).

En este sentido, el CCN-CERT hace un llamamiento para que se proceda a actualizar los equipos y sistemas con los últimos parches de seguridad publicados por el fabricante.

Del mismo modo, se recomienda realizar copias de seguridad de los ficheros de forma periódica y ejecutar la herramienta del CCN-CERT ‘NoMoreCry’ en sus sistemas

Más información:

•    CCN-CERT ID-17/17 Informe Ransom.WannaCry
•    CCN-CERT IA-03/17 Medidas Seguridad ransomware
•   CCN-CERT BP-04/16 Buenas Prácticas frente al ransomware

CCN-CERT (18-05-2017)

 (*) Dirección IP: número que identifica de forma única a un equipo en una red.. Una misma IP pública puede ser compartida por varios equipos de una organización mediante el uso de un servidor proxy.

Ministerio de Defensa
CNI
CCN
CCN-CERT