WannaCry (2017): El ransomware que paralizó al mundo

Análisis técnico del ataque que cifró 300,000 equipos en 150 países, explotando EternalBlue de la NSA.

Blue Team1 min de lectura
#ransomware#wannacry#eternalblue#historia
Compartir:

WannaCry (2017): El ransomware que paralizó al mundo

El ataque

Fecha: 12 de mayo de 2017
Víctimas: 300,000+ equipos en 150 países
Vector: EternalBlue (CVE-2017-0144) - SMBv1
Impacto: NHS (UK), Telefónica, FedEx, Renault

Vectores técnicos

CVE-2017-0144 (EternalBlue)

Exploit de la NSA filtrado por Shadow Brokers:

# Pseudo-código del exploit
SMB_packet = craft_malformed_packet()
send_to_port(445, SMB_packet)
trigger_buffer_overflow()
execute_shellcode()

Ports afectados:

  • TCP 445 (SMB)
  • TCP 139 (NetBIOS)

Propagación worm-like

Infección inicial (email/RDP)
    ↓
Escaneo de red (rango IP local)
    ↓
Exploit EternalBlue
    ↓
Cifrado de archivos
    ↓
Demanda de rescate (Bitcoin)

Mitigaciones (entonces y ahora)

Parche urgente

# Microsoft lanzó MS17-010 en marzo 2017
wusa.exe Windows-KB4012598-x64.msu /quiet /norestart

Kill switch accidental

Marcus Hutchins descubrió un dominio hardcoded:

http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Al registrarlo, detuvo la propagación.

Reglas de detección

# Regla Sigma para EternalBlue
title: EternalBlue Exploit Attempt
detection:
  selection:
    destination.port: 445
    network.protocol: "SMB"
    payload|contains: "\x00\x00\x00\x31\x00\x02\x00"

Lecciones aprendidas

  1. Patch management es crítico
  2. SMBv1 debe desactivarse
  3. Segmentación de red previene propagación
  4. Backups offline son esenciales

#WannaCry #Ransomware #EternalBlue #BlueTeam #IncidentResponse