(Especial MARKET VISION Ciberseguridad 2017 - 1).

En la primera quincena de mayo se produjo un ciberataque global que afectó a multitud de países y corporaciones en todo el mundo, destacando, entre otros escenarios, España, donde el asalto afectó a primeras empresas e instituciones. Después de que ese tipo de asaltos se reprodujesen con otras variantes en las semanas posteriores, MARKET VISION, revista de tecnología de consumo, ha recopilado información de interés para empresas tecnológicas, ya sean de la industria o del e-commerce, que estén preocupadas por este tipo de ataques, que se expone en una serie de artículos a publicar en entregas sucesivas.

IndentEl siguiente informe está relacionado con el primero de los ataques identificados en esta oleada, ocurrido, como decíamos, en la primera quincena de mayo, concretamente el día 12. Aquel malware, que utilizaba un ransomware (del inglés «ransom» = rescate, y «ware» de software o programas) denominado WannaCry (que significa «quiero llorar»), actuaba encriptando ficheros en los discos duros de los ordenadores infectados, pero además explotaba una vulnerabilidad de Windows para «contagiar» otros ordenadores conectados a la misma red local, consiguiendo una velocidad de propagación muy alta.
IndentLa firma española S21, especialista en ciberseguridad, elaboró entonces un documento que resumía lo ocurrido hasta el 15 de mayo (por tanto, en los tres primeros días), el impacto, las respuestas de empresas del sector de la ciberseguridad y de instituciones públicas, y recomendaciones sobre medidas a aplicar para proteger los activos, redes y ordenadores en el sector empresarial. Se reproduce el comunicado extractado, evitando los capítulos más técnicos.

IndentWannaCry - Informe por S21sec.

IndentEl viernes 12 de mayo se produjo un ciberataque a escala mundial mediante una combinación de ataque de un gusano, procedente del código filtrado por Shadow Brokers del exploit EternalBlue desarrollado por la NSA, junto con un ransomware denominado WannaCry. El ataque se desplegó de forma simultánea y a nivel global, afectando a multitud de países y corporaciones en todo el mundo.
IndentEl gusano explotaba una vulnerabilidad del sistema operativo Windows para «infectar» a otros ordenadores vulnerables que estuvieran en la misma red local que la máquina afectada, consiguiendo una velocidad de propagación muy alta.
IndentEl punto de entrada de este malware se cree que fue a través de un email que incluía un fichero adjunto, por lo que en todos los casos era necesaria la actuación de un usuario poco informado que abriera por error el mail y el archivo en cuestión, produciéndose a continuación una propagación muy rápida en toda la red de la empresa afectada.
IndentLa vulnerabilidad de Windows utilizada por esta versión de WannaCry es conocida como EternalBlue y ataca al protocolo de compartición de ficheros SMB de Windows. Esta vulnerabilidad fue anunciada y corregida por Windows el 14 de marzo de 2017, con nombre MS17-010. El 14 de abril de 2014 Shadow Brokers filtró la información relativa a un exploit desarrollado por la NSA para esta vulnerabilidad.

IndentEn general, el impacto que ha tenido este virus se puede vincular a varias causas:
Indent1) Problemas de concienciación/ formación del personal en el sector empresarial – para que no abran ficheros que vienen en emails «sospechosos».
Indent2) Velocidad de respuesta de las empresas en aplicar los parches o correcciones de Windows y otras empresas suministradoras de productos y soluciones software – una respuesta no inmediata en la aplicación de estos parches o correcciones puede dejar a una empresa en situación de desprotección.
Indent3) Potencial de las empresas en detectar que están sufriendo los efectos de un ataque y en ser capaces de activar mecanismos de respuesta.

IndentLas empresas que tenían estos tres ámbitos bien cubiertos han sido sin duda mucho menos afectadas que el resto. Por supuesto, no existe la protección total o la garantía completa de no poder ser afectado, pero las mejoras que se consiguen con los aspectos mencionados anteriormente, serán clave para evitar que sucesos como éste presenten el nivel de impacto que han tenido actualmente.

IndentEl impacto de este ataque en usuarios «domésticos / no empresariales» no es diferencial frente a otros ataques de ransomware, ya que la principal diferencia de este se halla relacionada con la capacidad y velocidad de propagación del gusano en redes empresariales explotando la vulnerabilidad mencionada.

IndentVector de ataque.
IndentSegún la investigación llevada a cabo desde S21sec, el vector de ataque fueron correos electrónicos con un documento adjunto que, al ser abierto por el usuario, permitía la ejecución de un código malicioso (gusano).
IndentEste es el vector de ataque más usual, ya que permite, usando la ingeniería social, que la víctima abra cierto tipo de ficheros supuestamente inofensivos (pdf, doc, xls, etc.) que permiten la ejecución de malware en la máquina del usuario.

IndentPropagación.
IndentDicho gusano explota una vulnerabilidad (conocida como EternalBlue) en el sistema de compartición de ficheros del sistema operativo Windows (parte del protocolo SMB) que permite propagar el malware a otras máquinas que estén en la misma red que la máquina infectada (y que no estuvieran convenientemente actualizadas o protegidas contra este problema de Windows).
IndentLa explotación de dicha vulnerabilidad habría sido encargada por la NSA a la organización Equation Group. Posteriormente, el grupo The Shadow Brokers (TSB), pudo hacerse con esta información con el fin de comercializarla y, finalmente, publicarla (hecho que ocurrió el pasado 14 de abril).
IndentLas versiones supuestamente afectadas por esta vulnerabilidad serían todas las anteriores a Windows 10 que no estuvieran parcheadas contra la vulnerabilidad documentada por Microsoft en su boletín de seguridad MS17-010 (publicado por Microsoft el 14 de Marzo).
IndentUna vez la máquina ha sido infectada por el gusano, este extrae un payload con el ransomware, en concreto de la familia WannaCry, que es el nombre o palabra clave asociado a la oleada de noticias en todos los medios de comunicación.
IndentEl malware de tipo «ransomware» es un tipo de amenaza que cifra los archivos de la máquina infectada solicitando un rescate económico, normalmente en bitcoins, ya que es un tipo de criptomoneda aceptada prácticamente a nivel global y que hace virtualmente imposible el rastreo de las personas o entidades que reciben las transferencias.
IndentLa decisión de multitud de empresas de pedir a sus trabajadores apagar los ordenadores y desconectarlos de la red se ha debido a que se exponían a perder información sensible, no sabiendo de primera mano si ésta podría ser recuperada mediante herramientas de descifrado o cuál podría ser el impacto real en los ordenadores o sistemas de toda la empresa. En la decisión de apagar las máquinas ha influido también la rápida propagación que estaba realizando el gusano.
IndentCabe destacar que, en esta versión del virus WannaCry, el cifrado de los archivos prosigue tras la aparición de la nota de extorsión, al contrario que en otras familias de ransomware que no muestran la nota hasta que el cifrado no se ha completado (esto hace recomendable que cualquier usuario que vea un mensaje de rescate en su pantalla proceda al apagado inmediato de su ordenador y se pongan en contacto con su departamento o empresa de servicios de IT o ciberseguridad).
IndentOtro efecto que se ha observado durante la propagación del gusano ha sido el de ver ordenadores bloqueados y/o mostrando pantallas azules. Esta situación se produce como consecuencia del intento del virus de utilizar la vulnerabilidad antes descrita, provocando en ocasiones un fallo del sistema y el consiguiente bloqueo o reinicio. En estos casos, se recomienda apagar dichos ordenadores y evaluar posteriormente cuál ha podido ser el nivel de afectación (número de archivos encriptados).

IndentFicheros objetivo del ataque en las máquinas afectadas.
IndentPara esta familia de WannaCry se cifran los archivos con las siguientes extensiones:
Indentder.pfx.key.crt.csr.p12.pem.odt.ott.sxw.stw.uot.3ds.max.3dm.ods.ots.sxc.stc.dif.slk.wb2.odp.otp.sxd.std.uop.odg.otg.sxm.mml.lay.lay6.asc.sqlite3.sqlitedb.sql.accdb.mdb.dbf.odb.frm.myd.myi.ibd.mdf.ldf.sln.suo.cpp.pas.asm.cmd.bat.ps1.vbs.dip.dch.sch.brd.jsp.php.asp.java.jar.class.mp3.wav.swf.fla.wmv.mpg.vob.mpeg.asf.avi.mov.mp4.3gp.mkv.3g2.flv.wma.mid.m3u.m4u.djvu.svg.psd.nef.tiff.tif.cgm.raw.gif.png.bmp.jpg.jpeg.vcd.iso.backup.zip.rar.tgz.tar.bak.tbk.bz2.PAQ.ARC.aes.gpg.vmx.vmdk.vdi.sldm.sldx.sti.sxi.602.hwp.snt.onetoc2.dwg.pdf.wk1.wks.123.rtf.csv.txt.vsdx.vsd.edb.eml.msg.ost.pst.potm.potx.ppam.ppsx.ppsm.pps.pot.pptm.pptx.ppt.xltm.xltx.xlc.xlm.xlt.xlw.xlsb.xlsm.xlsx.xls.dotx.dotm.dot.docm.docb.docx.doc

IndentMecanismos del malware para impedir que los equipos infectados se protejan.
IndentCon el fin de evitar que los usuarios puedan intentar protegerse de forma automática contra la vulnerabilidad de Windows que permite su propagación por la red de la empresa, SC21sec ha observado que el malware desactiva el mecanismo de actualizaciones de Windows mediante el borrado de la siguiente clave de registro:
IndentHKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\Schedule\CompatibilityAdapter\Signatures\Microsoft Update Scheduler.job


IndentCantidades exigidas por el ransomware para el rescate de los ficheros afectados.
IndentEl ransomware avisaba a los usuarios infectados que disponían hasta el 15 de mayo para ingresar la cantidad de rescate exigida (entre 300 y 600 dólares, a pagar en bitcoins). Transcurrido ese tiempo, dicha cantidad se doblaría, dándose al usuario (en realidad víctima del ataque más que usuario) otros 4 días para poder realizar el pago. Pasado el plazo de 7 días desde la infección, el malware anunciaba que se perdería la oportunidad de realizar el ingreso y de poder descifrar los ficheros afectados y/o se producirá el borrado de los mismos.

IndentPrimera referencia al Malware WannaCry.
IndentAnalizando la información disponible en los sistemas de vigilancia digital de S21sec, la primera referencia al malware WannaCry aparece en Twitter el 11 de febrero de 2017, generada por un perfil canadiense con apenas 10 seguidores (@RemovethreatPC) y que se centra en presentar noticias acerca de diferentes virus y cómo afrontarlos. En ese momento, todavía no había conciencia del impacto que tendría a futuro el malware al que hacía referencia.

IndentDatos Adicionales.
IndentEn la fecha de elaboración de este informe (de lo que ya ha transcurrido mes y medio) no estaba claro cómo se ha producido la ejecución del ransomware, pero se especulan varias posibilidades. La tesis más probable sería que se haya producido a la misma hora un envío masivo de correos de spam a miles de direcciones de correo de empresas, organismos y entidades públicas y usuarios particulares, con lo que las infecciones y propagación por la red se habrían producido simultáneamente. La siguiente hipótesis que se estaba valorando, es que el ransomware estuviera programado para ejecutarse a una hora determinada del 12 de Mayo, pero para eso había que realizar un análisis más exhaustivo de la muestra y no se disponía de suficientes datos. Finalmente, la tercera opción posible es que la entidad responsable de la difusión del gusano haya utilizado una «botnet» (conjunto de máquinas previamente comprometidas) y el botmaster hubiera lanzado un comando para ejecutar el ransomware en todos los bots o máquinas comprometidas a la misma hora.

IndentEn relación con las medidas correctoras o preventivas a aplicar en ordenadores con sistemas operativos de Microsoft, la propia empresa ha publicado un comunicado con un parche (KB4012598) para protegerse del ataque y recomienda su instalación en todas las versiones de Windows potencialmente afectadas.
IndentSe puede encontrar más información al respecto en el siguiente link: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
IndentOtros enlaces de interés para prevenir y mitigar el ataque son los que han ofrecido:
IndentINCIBE: https://www.incibe.es/protege-tu-empresa/avisos-seguridad/importante-oleada-ransomware-afecta-multitud-equipos
IndentCCN-CERT: https://loreto.ccn-cert.cni.es/index.php/s/tYxMah1T7x7FhND

IndentAfectación.
IndentSegún noticias del sector (https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-wides¬pread-attacks-all-over-the-world/) se habrían producido al menos 20.000 ataques, aunque otras fuentes ampliaban esa cifra. El número de países afectados se estimaba en el entorno de 150, apareciendo Rusia como país en el que el impacto habría sido mayor.
No parecía un ataque dirigido contra una empresa o país específico, dado que ha afectado a múltiples corporaciones de multitud de sectores y en diversos países, con lo que S21sec entendía que el fin del ataque había sido económico, como suele ser el caso con todo ransomware. La diferencia más notable frente a casos anteriores fue el alcance global y su rapidísima capacidad de propagación en las empresas afectadas.

IndentCuriosamente, y después un análisis exhaustivo de la situación, S21sec informa que sólo detectó un caso de afectación en su amplio conjunto de clientes que protege y monitoriza desde su SOC/CERT.


  
© 2017 - MARKET VISION.

 

Especial Seguridad Online