Ciberataque mundial con el ransomware Wanna Cry

Desde el viernes 12 de mayo de 2017 asistimos a un ciberataque a nivel global, con el ransomware Wanna cry.

Voy a intentar explicar conceptos relacionados con este virus y este ataque a través de preguntas y respuestas.

¿Qué es un virus ransomware?

Es un módulo maligno cuya principal función es cifrar los archivos de nuestro sistema Windows con criptografía fuerte.

¿Qué importancia tiene que este proceso se haga con criptografía fuerte?

Esto permite que si no se tiene la clave (privada) de descifrado, no es posible por ningún otro medio recuperar los archivos originales.

¿Qué necesita el ciberdelincuente para poder atacar?

Ingeniería social. El eslabón más débil de la empresa, en lo que a ciberseguridad se refiere, es el empleado. Los ataques de ingeniería social se basan en engañarles para que faciliten un ciberataque. Una de las formas más populares de hacerlo es falsificando una web, por ejemplo la de una entidad bancaria. Al creer que están en un sitio de confianza, el usuario no dudará en escribir sus claves de acceso, que quedarán en manos del ciberdelincuente. Hay varias herramientas en internet que permiten crear una página falsa en cuestión de minutos.

Conseguir una lista de contactos a la que atacar. Con una simple búsqueda en Google, cualquier persona puede encontrar listas de correo a diferentes precios, que contienen direcciones de correos de los trabajadores de muchas empresas, incluso de sus CEOs.

Contratar un servicio que envíe el correo malicioso. Existen grupos de hackers que se encargan de enviar el ataque a la lista de contactos previamente adquirida. Ofrecen lanzarlo desde dominios aparentemente legítimos, y que no sean bloqueados por el filtro antispam del cliente de correo electrónico de la víctima.

¿Cómo se produce la infección?

Habitualmente se produce al recibir por correo electrónico u otro medio digital, un programa cifrado, simulando ser otra cosa, que al ejecutarse descifra el código dañino y cifra nuestros archivos.

¿Cómo se transmiten estos virus?

Estos virus buscan a través de la red todas las unidades disponibles y cifran todos los archivos de ciertos tipos (documentos, hojas de cálculo, bases de datos, etc.) procurando que el sistema siga en funcionamiento, aunque a veces lo dejan bloqueado con la pantalla de aviso de infección.

¿Qué piden los piratas creadores del virus?

Desde que los fenicios inventaron el dinero, parece que todos los piratas y ladrones es lo que buscan (también los demás, pero por medios legales…).

Piden un pago en bitcoins, moneda digital de muy difícil rastreo, y con un gran valor en este momento (sobrepasa los 1000$ cada bitcoin a día de hoy).

Lo curioso es que esta vez han exigido el pago de 300$ por equipo y si este pago se retrasa 3 días o más, indican que van a subir el precio del rescate. Obviamente interesa que no haya tiempo para desarrollar una cura o vacuna y por eso presionan acortando el período de pago.

¿Cómo se identifican oficialmente estos incidentes?

Existe un código que identifica todas las vulnerabilidades y en este caso está identificada y documentada como CVE-2017–0143, CVE-2017–0144, CVE-2017–0145, CVE-2017–0146 y CVE-2017–0148. El organismo que estandariza los nombres de las vulnerabilidades de seguridad es el MITRE.

¿Qué está sucediendo?

El ataque se aprovecha de una vulnerabilidad de seguridad documentada por Microsoft en el boletín MS17–010, liberado el pasado 17 de marzo del 2017.

Esta vulnerabilidad afecta a los equipos que no tienen las últimas actualizaciones de seguridad.

Dicha vulnerabilidad radica en permitir la ejecución remota de código de Windows SMB.

En la mayoría de los casos la variante de Ransomware conocida como “WannaCry”, “WCry” o “Wanna Cryptor” está siendo distribuida por correo electrónico a través de correo spam.

Un grupo de hacker llamado “Shadow Brokers”, comentó que obtuvo la información de cómo aprovechar esta vulnerabilidad de los documentos del programa de espionaje de la NSA (National Security Agency). Esta vulnerabilidad fue denominada por la Agencia como “ETERNALBLUE” y permite el acceso a prácticamente cualquier equipo con sistema operativo Windows, que emplee algún protocolo de red para compartir archivos (SMB por ejemplo).

En los incidentes de seguridad relacionados con WannaCrypt, se trata de un ejecutable de ransomware que incluye funcionalidades adicionales de propagación.

Tiene la capacidad de explorar y localizar otras máquinas y distribuirse hacia otras máquinas alcanzables en la red interna y expuestas a través de la vulnerabilidad “ETERNALBLUE”. Debido a la naturaleza del fallo, este malware emplea características de un gusano, el cual no requiere de la interacción de los usuarios en las máquinas víctimas para su propagación.

En la mayoría de los casos ocurridos, la infección comienza con un correo electrónico (phishing), el cual incluye una URL maliciosa o un archivo adjunto que al ser ejecutado genera lo que se conoce como el “paciente cero”, el cual infecta el equipo y de forma simultánea inicia la segunda fase con características de tipo gusano que permiten su propagación en la red interna.

Como colofón a esta pregunta comentaré que Eduard Snowden (analista de la NSA, escondido en Rusia) acusa como responsable último del ataque a la NSA.

¿Cómo se ha detenido el ataque?

Lo curioso es cómo se ha conseguido detener la propagación del ataque.

Un investigador de ciberseguridad británico de 22 años ha sido nombrado por las redes sociales como el “héroe anónimo” que ha conseguido detener la amenaza de Wanna Cry.

@Malwaretechblog en Twitter, con la ayuda de Darien Huss, de la firma Proofpoint, han encontrado un “botón rojo” (kill switch) en el ransomware que lo detiene. Esa línea de código fue incluida por el creador de Wanna Cry. Se trata de una dirección web no registrada a la que el malware realizaba una petición, una .com con letras y números muy larga, casi críptica, y que terminaba en “gwea.com” ( concretamente es http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com).

Si Wanna Cry no obtiene respuesta de esa web, se expande. Si se activa, se detiene. Por eso el investigador compró el dominio por unos 10 euros.

¿Cómo se pueden prevenir estas infecciones?

La primera medida es tener el sistema operativo Windows actualizado.

También puedes plantearte pasar a una distribución Linux, como Linux Mint, LXLE o la considerada como la mejor distribución Linux en el año 2017 para el escritorio: Elementary OS.

También debes tener actualizados los drivers del sistema y, por supuesto, los programas, sobre todo el navegador y si tienes cliente de correo.

Debes tener un antivirus (me suelo decantar por Avast o Avira pero esta infección concreta –Wanna Cry- parece que la detectaban unos pocos antivirus, entre ellos Kaspersky), un cortafuegos (a partir de Windows 7 puede ser suficiente el que viene incluido con el sistema, aunque siempre puedes optar por Comodo o PrivateFirewall), uno o varios antiespías (SpyBot, Malwarebytes y Spywareblaster pueden ser útiles) y, para finalizar, deberíamos añadir una de las múltiples herramientas antiransomware que han surgido como las setas.

El CCN-CERT ha liberado recientemente una herramienta, disponible aquí, específica para el virus Wanna Cry.

Haz periódicamente copias de seguridad de tus datos, ya que también tu disco duro va a fallar.

Existen listas de comprobación de seguridad para usuarios domésticos, que deberías tener en cuenta.

Ataque mundial actual

Desde mi punto de vista, este ataque (como han indicado varios expertos en seguridad) es un globo sonda para estudiar el estado de seguridad de las infraestructuras y calcular tiempos de reacción o una prueba de concepto de ataque global a Corporaciones.

Espero ataques mucho más potentes, en realidad este es un ataque pequeño tirando a mediano, que realmente se transmite porque los usuarios no siguen las indicaciones de seguridad (borrar correos no solicitados, no descargar adjuntos, no ejecutar adjuntos…) y también que no tienen actualizados adecuadamente los sistemas, drivers ni programas ni obtienen los programas de forma segura.

Espero que sirva de toque de atención (en realidad alguien lo ha definido como una Gran campaña de concienciación en ciberseguridad con repercusión mediática. +100K infecciones en +100 países) para formar y concienciar a todos los usuarios que utilizan internet (o sea todos) para que sigan estrictamente las normas de seguridad y tengan actualizados sus sistemas.

Por cierto, os lo dije (punto 4).

Referencias

Mapa interactivo para ver en tiempo real el ataque Wanna Cry

Mapa de infecciones mundial

Infografía de cómo funciona un ataque Cryptoware

Ciberataque masivo a escala global: 5 preguntas para entender qué es y de donde surgió el virus WannaCry

Microsoft lanza un parche para Windows XP que protege al viejo sistema del ransomware WannaCrypt

Chema Alonso explicando lo obvio para cualquier informático

Informe del CCN-CERT contra el ransomware (PDF)

Wanna Decryptor: así funciona el ransomware que se ha usado en el ciberataque a Telefónica

Ransomware: el virus que secuestra información

En los primeros momentos…

Cuando el miedo a lo desconocido pasa absurdamente a pánico injustificado

España no está preparada para una ciberguerra: hablan los expertos

Así percibimos los españoles la ciberseguridad… y así es la realidad

¿Sabías que el 30% de los españoles ha sufrido un ciberataque en los últimos 6 meses?

Comunicado del Departamento de Seguridad Nacional

Monitorizando las transacciones #bitcoin recibidas en #wallet por el #ransomware de #WannaCry

Ver ‘en vivo’ Monederos en Blockchain: cómo van cobrando los piratas (el crimen no renta)

Un ciberataque “sin precedentes” obligará a reforzar los sistemas de seguridad

El mayor ciberataque mundial reciente se pudo parar con un dominio de 10 euros

El ‘héroe’ anónimo

How to Accidentally Stop a Global Cyber Attacks

¡Cuidado! Detectado un ransomware que ataca a Linux

Ciberataque global: 80.000 afectados en 74 países y hasta volvió el Negro de WhatsApp

Parche de Microsoft (fijarse en la fecha…)

Nueva variante de ransomware “WannaCry”

Expertos abonan la teoría del ataque como prueba de concepto al haber un ‘kill switch’

Hackeo a Telefónica: qué podemos sacar en claro de todo esto

El ‘ransomware’ se ha convertido en la peste negra digital

Tipificación penal del ransomware

El ‘ransomware’, la principal ciberamenaza para las empresas

Así fue el primer ciberataque masivo que ha paralizado el mundo

Ciberataque global decae, pero expertos advierten de riesgo de nuevos ataques

Actualización informativa sobre los ciberataques producidos en la jornada de hoy

WannaCry en la Wikipedia (con muchas referencias)

“Ese virus del tipo ‘ramóngüer’”, dijo Álvaro Zancajo.

Análisis técnico del ataque de Wanna Cry

One clap, two clap, three clap, forty?

By clapping more or less, you can signal to us which stories really stand out.