Wannacry, el ransomware que sacudió al mundo

La pasada semana se produjo un ciberataque global, afectando a multitud de países y corporaciones en todo el mundo. El malware, que utilizaba un ransomware denominado WannaCry, actúa encriptando ficheros en los discos duros de los ordenadores infectados, pero además explota una vulnerabilidad de Windows para “contagiar” otros ordenadores conectados a la misma red local, consiguiendo una velocidad de propagación muy alta. ¿De qué se trató el ataque?

El gusano explotaba una vulnerabilidad del sistema operativo Windows para “infectar” otros ordenadores vulnerables que estuvieran en la misma red local que la máquina afectada, consiguiendo una velocidad de propagación muy alta. El punto de entrada de este malware se cree que ha sido a través de un email que incluía un fichero adjunto, por lo que en todos los casos era necesaria la actuación de un usuario poco informado que abriera por error el mail y el archivo en cuestión, produciéndose a continuación una propagación muy rápida en toda la red de la empresa afectada.

La vulnerabilidad de Windows utilizada por esta versión de WannaCry es conocida como EternalBlue y ataca al protocolo de compartición de ficheros SMB de Windows. Esta vulnerabilidad fue anunciada y corregida por Windows el 14 de Marzo de 2017, con nombre MS17-010. El 14 de Abril de 2014 Shadow Brokers filtró la información relativa a un exploit desarrollado por la NSA para esta vulnerabilidad.

EL PASO A PASO DEL ATAQUE

Según la investigación que estamos llevando a cabo desde S21sec, una empresa de ciberseguridad española, el vector de ataque fue mediante correos electrónicos con un documento adjunto que, al ser abierto por el usuario, permite la ejecución de un código malicioso.

Éste es el vector de ataque más usual, ya que permite, usando la ingeniería social, que la víctima abra cierto tipo de ficheros supuestamente inofensivos (pdf, doc, xls, etc.) que permiten la ejecución de malware en la máquina del usuario.

Dicho virus explota una vulnerabilidad (conocida como EternalBlue) en el sistema de compartición de ficheros del sistema operativo Windows (parte del protocolo SMB) que permite propagar el malware a otras máquinas que estén en la misma red que la máquina infectada (y que no estuvieran convenientemente actualizadas o protegidas contra este problema de Windows).
De acuerdo con los datos disponibles hasta el momento, la explotación de dicha vulnerabilidad habría sido encargada por la NSA a la organización Equation Group. Posteriormente, el grupo The Shadow Brokers (TSB), pudo hacerse con esta información con el fin de comercializarla y, finalmente, publicarla (hecho que ocurrió el pasado 14 de Abril).

Una vez la máquina está infectada por el gusano, éste extrae un payload con el ransomware, en concreto de la familia WannaCry, que es el nombre o palabra clave asociado a la oleada de noticias en todos los medios de comunicación. El malware de tipo “ransomware” es un tipo de amenaza que cifra los archivos de la máquina infectada solicitando un rescate económico, normalmente en bitcoins, ya que es un tipo de criptomoneda aceptada prácticamente a nivel global y que hace virtualmente imposible el rastreo de las personas o entidades que reciben las transferencias.

La decisión de multitud de empresas de pedir a sus trabajadores apagar los ordenadores y desconectarlos de la red se ha debido a que se exponían a perder información sensible, no sabiendo de primera mano si ésta podría ser recuperada mediante herramientas de descifrado o cuál podría ser el impacto real en los ordenadores o sistemas de toda la empresa. En la decisión de apagar las máquinas ha influido también la rápida propagación que estaba realizando el gusano.

Cabe destacar que, en esta versión del virus WannaCry, el cifrado de los archivos prosigue tras la aparición de la nota de extorsión, al contrario que en otras familias de ransomware que no muestran la nota hasta que el cifrado no se ha completado (esto hace recomendable que cualquier usuario que vea un mensaje de rescate en su pantalla proceda al apagado inmediato de su ordenador y se pongan en contacto con su departamento o empresa de servicios de IT o ciberseguridad).

Otro efecto que se ha observado durante la propagación del gusano ha sido el de ver ordenadores bloqueados y/o mostrando pantallas azules. Esta situación se produce como consecuencia del intento del virus de utilizar la vulnerabilidad antes descrita, provocando en ocasiones un fallo del sistema y el consiguiente bloqueo o reinicio. En estos casos, se recomienda apagar dichos ordenadores y evaluar posteriormente cuál ha podido ser el nivel de afectación (número de archivos encriptados).

LAS CAUSAS MÁS COMUNES DE LAS EMPRESAS AFECTADAS

En general, el impacto que ha tenido este virus se puede vincular a varias causas:

• Problemas de concientización/formación del personal en el sector empresarial – para que no abran ficheros que vienen en emails “sospechosos”.
• Velocidad de respuesta de las empresas en aplicar los parches o correcciones de Windows y otras empresas suministradoras de productos y soluciones software – una respuesta no inmediata en la aplicación de estos parches o correcciones puede dejar a una empresa en situación de desprotección.
• Potencial de las empresas en detectar que están sufriendo los efectos de un ataque y en ser capaces de activar mecanismos de respuesta.

Las empresas que tenían estos tres ámbitos bien cubiertos han sido sin duda mucho menos afectadas que el resto. Por supuesto, no existe la protección total o la garantía completa de no poder ser afectado, pero las mejoras que se consiguen con los aspectos mencionados anteriormente, serán clave para evitar que sucesos como éste presenten el nivel de impacto que han tenido actualmente.

RECOMENDACIONES DE SEGURIDAD BY TREND MICRO

El fabricante fue uno de los primeros en alertar a los usuarios y empresas y compartió algunos consejos.

• Actualizar todos los patrones de sus productos a la última versión disponible. El modelo «Smart Scan» versión 13.399.00 ya detecta esta amenaza y ya está disponible.
• Después de actualizar los patrones, realizar una exploración manual programada en sus dispositivos.
• Verificar la activación de todas las protecciones anti-ransomware de sus productos.
• Migrar a la última versión de OSCE (OSCE XG).
• Activar la protección Smart Scan y High-Fidelity Machine Learning si aún no están activos.
• Instalar tecnologías que blindan sus equipos contra la explotación de vulnerabilidades no corregidas: Vulnerability Protection para desktop y Deep Security para servidores.
• Implementar mecanismos de detección de amenazas desconocidas (ransomware, APT, etc): Deep Discovery).
• Activar la protección anti-rasomware en los servidores.

El fabricante informó en un comunicado que ya brinda la protección y detección necesaria para este tipo de ataques mediante varias capas de protección:

• OSCE XGen – Patrón 13.399.00 y 17264.014.00
• Deep Security & Vulnerability Protection- Patrón DSRU-ID 17-016

• 1008224 – Windows SMB RCE Vulnerabilities
• 1008228 – Windows SMB RCE Vulnerability
• 1008225 – Windows SMB RCE Vulnerability
• 1008227 – Windows SMB RCE Vulnerability
• 1008306 – Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)
• Deep Discovey Inspector – Rule ID 2383: CVE-2017-0144 – RCE – SMB (Request)
• Tipping Point – filters: 27433, 27711, 27928
• High-Fidelity Machine Learning detecta SIN necesidad de patrón
• Deep Discovery Custom Sandbox detecta SIN necesidad de patrón

CONCLUSIONES DE ACRONIS

Por su parte, Nikolay Grebennikov, Vicepresidente de Ingeniería de Acronis, dijo «La gente y las empresas escuchan ransomware» y piensan que tal ataque no les puede suceder» y amplió «el hecho es que puede, y de hecho, sólo hoy – Telefónica fue golpeada por una versión muy agresiva del ransomware de Wcry. 47 por ciento de las empresas sufrieron ataques de ransomware el año pasado y eso está creciendo. Basta con mirar a Telefónica como la más reciente prueba. La verdadera pregunta que las empresas, los hospitales y las telcos deben hacerse es: ¿cómo puedo protegerme de un ataque de ransomware que es aparentemente inevitable? La respuesta: una solución de copia de seguridad fiable que incluye protección activa contra ataques de ransomware. Acronis Backup 12 Advanced y Acronis Active Protection pueden evitar daños de este tipo de ransomware y esta solución está disponible para las empresas de hoy»

Tal como explicó el vocero, el 47% de las empresas fueron víctimas de ataques de ransomware el año pasado. «Como lo atestiguan Telefónica y los recientes ataques de bancos en España y el Reino Unido, la amenaza está creciendo. Apagar computadoras es una solución a corto plazo, pero no ayuda. Sólo una solución integrada, que combina tecnologías de copia de seguridad (pasivas) y tecnologías de seguridad proactivas (activas), que trabajan juntas en un solo producto, proporciona la recuperación de datos en cualquier situación. Con ransomware tan sofisitcado, no puedes tener limitaciones en el tamaño de los archivos o el número de archivos».

Y finalizó «Afortunadamente para las empresas, esa solución existe hoy con Acronis Active Protection, que efectivamente detectó este virus y es capaz de detenerlo. Los procedimientos de copia de seguridad son un requisito necesario de la gestión de la continuidad del negocio en las empresas que quieren estar protegidas.»

Para defenderse contra el ransomware, Acronis ha propugnado desde hace mucho tiempo el uso de la protección de datos: si mantiene copias de seguridad de sus archivos en diversos medios de almacenamiento y ubicaciones, puede restaurar rápidamente una computadora cifrada por ransomware a su estado de pre-infección. Puede perder algunas horas o días de trabajo, pero no tendrá que pagar el rescate. Acronis también auto protege sus copias de seguridad, que comúnmente son objetivos del ransomware con el fin de sabotear los esfuerzos de restauración. A principios de este año, Acronis fue un paso crítico más allá, introduciendo Active Protection en nuestras soluciones de protección de datos.

Para conocer más sobre Acronis y su apuesta contra el ransomware lea el informe que lanzó recientemente la marca.

LA RESPUESTA DE KASPERSKY

Por su parte, Kaspersky envió un comunicado donde dió a conocer información relevante sobre cómo actúa Wannacry, y compartió algunos consejos de seguridad para los usuarios. «Los expertos de Kaspersky Lab están actualmente tratando de determinar si es posible descifrar los datos bloqueados en este ataque con el objetivo de desarrollar una herramienta de descifrado tan pronto como sea posible» afirmaron.

Las soluciones de seguridad de Kaspersky Lab detectan el malware utilizado en este ataque por los siguientes nombres de detección:

• Trojan-Ransom.Win32.Scatter.uf
•  Trojan-Ransom.Win32.Scatter.tr
• Trojan-Ransom.Win32.Fury.fr
• Trojan-Ransom.Win32.Gen.djd
• Trojan-Ransom.Win32.Wanna.b
• Trojan-Ransom.Win32.Wanna.c
• Trojan-Ransom.Win32.Wanna.d
• Trojan-Ransom.Win32.Wanna.f
• Trojan-Ransom.Win32.Zapchast.i
• Trojan.Win64.EquationDrug.gen
• Trojan.Win32.Generic (el componente System Watcher del sistema debe estar
  habilitado)