Por Kevin Magee
Global security strategist en Gigamon
Un ciberataque sin precedentes de ransomware, conocido como WannaCry, que encripta los archivos de una computadora y demanda el pago para desbloquearla, se ha propagado a una velocidad nunca antes vista por los expertos en seguridad. Hoy, más de 75 mil sistemas en más de cien países han reportado estar infectados y con mayor incidencia en los sistemas operativos de la empresa Telefónica en España, el servicio nacional de salud (NHS) en Reino Unido y FedEx (en sus operaciones de países europeos como Rusia, uno de los más afectados).
Aunque su propagación ha perdido velocidad, no puede creerse que se ha detenido. Basado en datos provenientes de MalwareTec, el New York Times ha compilado un mapa interactivo en el que muestra qué tan rápido WannaCry se ha diseminado. Ciertamente, esto abrió los ojos a aquellos que consideraban la ciberseguridad como un problema molesto en lugar de un riesgo potencial.
Una de las primeras organizaciones que reportó el ataque fue la NHS en Reino Unido, donde aún sus equipos de seguridad continúan trabajando contra reloj para restaurar los sistemas en más de 45 hospitales en Inglaterra y Escocia. Increíblemente peligroso, el ataque puso en riesgo la seguridad de los pacientes al dejar a hospitales y doctores sin acceso a los expedientes de los pacientes, lo que llevó a la cancelación de operaciones y citas médicas.
Desde la cuenta de Twitter del NHS, el East Kent Hospital envió un mensaje a todo su personal indicándoles que el ransomware pudo haber atacado por un email con el título “Clinical Results” Si esto es cierto, parece que los hospitales fueron especialmente dirigidos.
Mientras esto es discutido, el NHS recibió la mayor presión de la prensa el pasado viernes debido al momento en que ocurrió el ataque (justo por la mañana en Reino Unido), WannaCry se esparció rápidamente y no sólo con otras organizaciones alrededor del mundo, sino también a otros dispositivos y sistemas mucho más allá de las estaciones de trabajo. En Alemania, por ejemplo, un operador del tren Deutsche Bahn dijo que el ataque no interrumpía los servicios del tren y tampoco estaban infectados los sistemas de los monitores de la estación.
¿Cómo trabaja WannaCry y por qué este ataque?
Mientras esta variante de ransomware es un remolino mundial, la manera en que infectó los sistemas y cómo se esparció rápidamente es única. Muchos tipos de ransomware dependen de que un usuario le dé click a un link malicioso o a un archivo adjunto de phishing enviado por email, para infectar una computadora. En tanto que los cibercriminales puedan poner miles o millones de estos emails por día, la efectividad de infección seguirá dependiendo del usuario final, quien sin quererlo se convierte en cómplice involuntario para desencadenar el ataque. Esta técnica, que ha demostrado ser efectiva pero limitante en la capacidad con la que el ransomware se expande, se esparcirá tanto como cada usuario individualmente caiga en la trampa. No sólo con WannaCry.
Esto es sólo un ejemplo de cómo WannaCry infectó una PC con firewall, que pudo moverse lateralmente por las redes y propagarse a otros sistemas. El análisis inicial de los investigadores en seguridad indica que esto pudo hacerse al escanear e identificar sistemas con puertos abiertos 139 y 445, observando las conexiones entrantes y explorando arduamente los puertos TCP 445 (servidores de mensajes bloqueados, SMB), los cuales permiten expandir el malware internamente de manera similar a un gusano. El gusano entonces se enrolla en cada sesión RDP en un sistema y ejecuta el ransomware como usuario administrador de cuentas. Esto también instala el DOUBLEPULSAR en la puerta trasera y corrompe los volúmenes de tráfico para hacer la recuperación mucho más difícil.
WannaCry hará esto cuando la PC esté abierta y no tenga la actualización MS-17-1010 de Microsoft, lanzada el pasado 14 de marzo, que cubre vulnerabilidades de SMBv1 (Microsoft no mencionó SMBv2). Las máquinas con Windows 10 que tienen este parche no fueron afectadas y, por lo tanto, no corren el riesgo de que este malware se propague en ellas. Adicionalmente, Talos ha observado cómo WannaCry explota su DOUBLEPULSAR, un backdoor, generalmente usando el acceso y ejecutando el código en sistemas previamente comprometidos, así como en documentos que rompen la ofensiva contra el framework eliminado como parte del Shadow Brokers cache.
¿Qué pasa con los sistemas infectados?
Una vez que el ransomware infectó el sistema, éste comienza a encriptar cualquier cosa que encuentra. El archivo taskche.exe busca drives tanto internos como externos buscando letras como “c:/” or “d:/”, una vez encontrados pueden ser también afectados. Cuando encuentra los archivos de interés, éstos son encriptados usando 2048-bit RSA encryption. ¿Qué tan bien cifrado está lo encriptado? Bueno, DigiCert calculó que esto podría tomar 1.5 millones de años con las máquinas actuales y estándar procesando ininterrumpidamente.
Los usuarios recibieron la notificación en su pantalla demandándoles 300 dólares en Bitcoin para devolverles sus archivos y restaurar su sistema; de no ser pagado el rescate, los archivos podrían ser removidos permanentemente y el acceso continuar restringido. En algunas otras pantallas se mostraba que si el rescate no se paga en seis horas, el costo podría subir a 600 dólares, mientras que en otras indicaba que el usuario tenía tres días para el pago. Esto es molesto y crea la sensación de urgencia para el usuario que debe pagar o enfrentar el costoso riesgo de perder toda su información. Una sensación de esperanza es también inculcada a proveer la habilidad de descifrar una pequeña cantidad de archivos, intentando demostrarles a los usuarios que si cooperan con la extorsión y el pago del rescate, podrán tener acceso nuevamente a sus archivos.
Cabe señalar que los criminales detrás de los ataques no tienen obligación alguna de proporcionar las claves de descifrado. Pagar el rescate puede no devolver el acceso al sistema ni la recuperación de los archivos. Aún más, pagar el rescate no sólo deja al usuario etiquetado para futuras extorsiones, sino que también ayuda a incentivar a los criminales a desarrollar otros ataques cada vez más sofisticados.
¿Por qué se expandió lentamente: el kill switch?
Talos observó oportunamente en su investigación que el ataque WannaCry fue enviado desde el dominio iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. ¿Cómo un humano generó un dominio con caracteres tan largos usando sólo teclas de la parte superior del teclado? Este patrón es generalmente el resultado de alguna maceración del teclado y fácilmente identificable por los investigadores en seguridad.
Entonces, si WannaCry puede comunicarse desde este dominio, éste puede detenerse y no infectar el sistema. Como este dominio no fue registrado, cada infectado pudo intentar comunicarse pero no logró llegar al dominio, continuó ejecutándose e infectar la PC. El ransomware comienza habilitando la comunicación con un dominio específico, por lo que éste puede detener el dominio registrado como si fuera un interruptor. Esto es altamente inusual y parece estar codificado internamente al malware por el creador.
@malwaretechblog, un astuto investigador de seguridad, con ayuda de Darien Huss de la firma en ciberseguridad Proofpoint, fundó el archivo de kill switch donde simplemente se registraban los dominios. “Vi que no estaba registrado y tuve que hacerlo”, dijo MalwareTech, lo cual le costó 10.69 dólares. Una vez registrado el nombre del dominio, desconectó a cientos en segundos.
El kill switch parece haber trabajado y está retrasando la expansión de infecciones. Desafortunadamente, es probable que tengamos réplicas que los copycats ya están trabajando con variaciones del ataque. Seguramente, pronto habrá nuevas variantes y modificaciones del ataque.
Cuando el gusano Conficker estaba corriendo desenfrenadamente creando una enorme botnet en 2008, un investigador de seguridad encontró similitudes en llamadas hechas a casa con nombres aleatorios generando nombres de dominio al azar para las instrucciones de Comando y Control, por lo que logró limitar la capacidad de Conficker de ejecutar cualquier comando registrando todos los nombres del dominio. Las variantes A y B de Conficker se descargan diariamente desde cualquiera de los 250 dominios pseudoaleatorios. Mientras se registraban 250 dominios en un día, esto se estaba encareciendo y consumiendo mucho tiempo, pero fue todavía posible para los defensores, reconocidos conjuntamente como “Conficker Cabal”, mantenerse delante del atacante. Esta estrategia se desmoronó cuando el atacante lanzó Variant C, que descargaba diariamente desde 500 a 50 mil dominios pseudoaleatorios.
Indudablemente, esparemos variantes futuras de WannaCry y los copycats emplearán un enfoque similar que demuestre que el registro de un simple kill switch no será eficaz por siempre.
¿Y ahora qué sigue?
Recomendaciones:
· Asegúrate de que todos las PCs con Windows anterior a Windows 10 y las que tengan Windows 10 tengan el parche instalado. Todas deben estar aseguradas.
· Asegúrate de que Microsoft bulletin MS17-010 ha sido aplicado.
· El acceso a internet SMB usando los puertos 139, 445 debe estar debidamente bloqueado para prevenir tráfico intruso.
· Bloquea todos los TOR exit node IP addresses al firewall. Éstos generalmente están disponibles para alimentar la seguridad inteligentemente.
· Si por alguna razón no puedes parchar tus dispositivos (médicos o de otros sistemas de arquitectura), asegúrate de deshabilitar SMBv1.
Prevenciones:
· Asegúrate de que ha corrido la última actualización de los sistemas operativos en todos tus dispositivos, no sólo en las PCs.
· Ten un sistema de mantenimiento de parches para tus sistemas en lugar de esperar a que el vendedor lo aplique a cada punto final de manera oportuna.
· Instala algún tipo de protección en tus puntos finales para anti-malware en todos tus sistemas y asegúrate de aplicar las actualizaciones en forma periódica.
·Tener sólo actualizados tus firewalls y protección en tus puntos finales no es suficiente. Este ataque se movió lateralmente al firewall, lo que quiere decir que de punto a punto en toda la red debe tenerse visibilidad y herramientas de seguridad que puedan detectar, prevenir y mitigar ataques físicos, virtuales y en los sistemas albergados en la nube.
· Asegúrate no sólo de tener un plan de recuperación para el negocio, ten planes de desastre y recuperación para otros procesos probados regularmente.
· Resguarda todo y asegúrate de tener los dispositivos apagados para no llamar la atención de los atacantes.
· ¡Entrena a tus usuarios! Tus empleados deben recibir entrenamiento para que ayuden a identificar y reportar amenazas como la seguridad tradicional. El entrenamiento en seguridad les ayudará a cooperar con las organizaciones de seguridad y a mejorar sus procedimientos.
Sigue a The markethink y entérate de los temas más actuales y sobresalientes de la industria
