El día de ayer gran parte del mundo se vio afectado por WannaCry,

El día de ayer gran parte del mundo se vio afectado por WannaCry, un ransomware que además de cifrar los archivos de sus víctimas y pedir el clásico rescate con Bitcoins, se propagaba por las redes locales utilizando un gusano que aprovechaba una vulnerabilidad crítica de Windows conocida como MS17-010.

Es decir que si una computadora se infecta, otras que estén conectadas a su misma red local también podrían infectarse automáticamente si son vulnerables.

Esta vulnerabilidad de Windows fue parcheada en el pasado mes de marzo, pero aún así ha logrado infectar a miles de computadoras en todo el mundo, principalmente de empresas que suelen tener muchos equipos conectados entre sí.

Dado el gran impacto que ha tenido, Microsoft lanzó en el día de ayer parches especiales para Windows XP, Windows 8 y Server 2003 dado que son sistemas aún muy utilizados pero que ya no reciben actualizaciones de seguridad de forma periódica como las versiones más recientes de Windows.

Cabe mencionar que aunque tengas todo actualizado, el ransomware en sí igualmente puede terminar infectando tu equipo como cualquier otro malware que se propaga por correos spam, enlaces, programas falsos y diversas técnicas de ingeniería social. La vulnerabilidad en Windows fue algo que simplemente se aprovechó para propagarlo aún más.

En el siguiente mapa de https://intel.malwaretech.com se puede ver el alcance que ha tenido el ataque, afectando a prácticamente todos los países incluyendo a Uruguay:

mapa de propagacion de WannaCry

Y aquí se puede ver un mapa en tiempo real con las infecciones activas: intel.malwaretech.com/WannaCrypt.html

Una vez que WannaCry se ejecuta en un equipo, comienza a cifrar con RSA de 2048 bits todo tipo de archivos desde .jpg, .doc, .mp4 hasta extensiones de archivos que seguramente nunca has visto. No cifra todo el disco duro, sino los archivos que encuentra del usuario de Windows en ejecución.

Luego aparece una ventana como la siguiente (compartida en Twitter por @assolini):

wannacry en español

Fabio Assolini

 @assoliniO ransomware WannaCry mostra o pedido de resgate em vários idiomas, incluindo Português e Espanhol, 13:48 – 12 May 2017,4343 Retweets2828 me gusta
 De momento no hay forma de romper el cifrado para recuperar los archivos, pero se recomienda no pagar para evitar seguir financiando a los ciberdelincuentes. Lo que se debe hacer es eliminar el malware del equipo y tratar de recuperar los archivos de otra forma, por ejemplo desde backups.

En la imagen se puede ver la dirección de Bitcoin a la cual hay que pagar, no es la única que están utilizando para recibir los pagos, pero esta en particular ha realizado de momento 23 transacciones de acuerdo a blockchain.info, es decir recibido unos 6.900 dólares.

Otras direcciones detectadas se pueden ver en el siguiente tweet de un investigador, suman en total unos 17 mil dólares recibidos lo cual no es mucho considerando la magnitud del ataque, aunque muchas víctimas seguramente aún estén pensando qué hacer para recuperar sus archivos:

¿Cómo protegerse de WannaCry?

En el 2007 escribía este artículo titulado ¿Es bueno actualizar Windows? Y 10 años después todavía hay muchas personas que se lo preguntan e incluso consideran que es algo malo, cuando en realidad es todo lo contrario.

Las actualizaciones de cualquier sistema operativo y programa suelen incluir la mayoría de las veces parches de seguridad que solventan vulnerabilidades, como la que fue aprovechada con WannaCry.

Por lo tanto se debe mantener todo actualizado para estar más seguros y en caso de no poder hacerlo por cuestiones de compatibilidad con algunas aplicaciones, se deben aplicar medidas para reducir el impacto de posibles ataques, como por ejemplo no utilizar el usuario Administrador de Windows, limitar los permisos, entre otras medidas.

Para el caso del ransomware lo mejor es contar con respaldos de seguridad que sean actualizados de forma periódica.

También es necesario utilizar antivirus, aunque algunos informáticos desinformados te digan que no sirven para nada. Muchos tienen funciones que permiten detectar ataques complejos y los bloquean antes de que lleguen a realizar algún daño, por supuesto no son 100% efectivos pero en materia de seguridad no hay nada que te asegure la seguridad absoluta.

Existen además herramientas específicas para protegerse de los ransomwares como Latch ARW, Malwarebytes Anti-Ransomware y AntiRansom 2.0, todas estas bloquean a WannaCry.

WannaCry y Telefónica:

No puedo dejar de mencionar a @chemaalonso en todo esto, tal vez la cara más visible de la empresa cuando se habla de seguridad, ya que fue el centro de atención en gran parte del mundo hispanohablante, principalmente en España.

Este ransomware afectó a hospitales, universidades, instituciones gubernamentales y empresas de todo el mundo. Telefónica fue una de ellas y de las primeras en reportar el ataque, ayudando además a otras empresas y a los fabricantes de antivirus para crear las firmas que detectan el malware.

Por más detalles les recomiendo leer el artículo que Chema ha publicado en su blog “El ataque del ransomware #WannaCry“, donde explica de forma clara todo lo que ha sucedido y las acciones que han tomado ante el incidente.

Comentarios finales:

Algo interesante de este ataque masivo es la vulnerabilidad de Windows que se aprovechó para aumentar la propagación de WannaCry. Por aquí pueden encontrar detalles técnicos y la forma de probarla utilizando Metasploit gracias a la investigadora argentina Sheila Berta.

Como comentaba al principio, la vulnerabilidad fue parcheada por Microsoft en marzo luego de aparecer como un 0-Day. Unas semanas después un grupo denominado The Shadow Brokers filtró una serie de exploits de la Agencia de Seguridad Nacional de Estados Unidos (NSA) y entre ellos se encontraba casualmente uno que aprovechaba la mencionada vulnerabilidad de Windows.

Esto genera una pregunta obvia ¿si en su poder tenían esta herramienta, qué otros 0-day son capaces de aprovechar actualmente para hacer de las suyas? El impacto que pueden tener ya lo hemos visto.

Por último, comentar una particularidad de esta versión de WannaCry, los investigadores analizando muestras del malware descubrieron que intenta conectarse con el siguiente dominio:

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea . com

Si la conexión es exitosa el equipo no se infecta ni se intenta atacar otros sistemas de la red, pero si la conexión con el dominio falla entonces el malware se activa, cifra los archivos y se propaga.

¿Por qué los creadores han hecho esto? Se sospecha que era un mecanismo de protección para desactivar el malware en ambientes de prueba (anti-sandboxing), pero el dominio se encontraba libre, así que lo han registrado y ahora siempre responde de forma exitosa lo cual ha detenido el ataque como un “kill switch”. La historia y los detalles sobre esto se pueden leer en este artículo de malwaretech.com.

Por supuesto no se descarta que puedan aparecer otras variantes del ransomware o bien otros tipos de malware que aprovechen la misma vulnerabilidad de Windows para propagarse.

WannaCry por el mundo, se propagó incluso hasta los cajeros automáticos!:

https://www.spamloco.net/

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s