Wannacry, la mañana siguiente

Hace unos meses publiqué un artículo sobre ransomware en donde hablo de qué se trata, cómo prevenirlo y, en algunos casos, solucionarlo: https://pcoronaf.blogspot.mx/2016/12/el-ransomware-y-como-solucionarlo.html

TL;DR:

El ransomware ha crecido por algunos factores como:

• Aumento de usuarios de sistemas informáticos con información importante en ellos.
• Técnicas de cifrado (encripción) robusta que no tienen manera conocida de ser abiertas sin la llave.
• Anonimidad que brindan medios de pago electrónicos como Bitcoin.

Cómo prevenirlo:

• Mantener actualizados los sistemas.
• Realizar respaldos periódicos de la información.
• No abrir ni instalar archivos de orígenes desconocidos o dudosos.
• No abrir ni habilitar las macros en programas de ofimática (https://pcoronaf.blogspot.mx/2017/02/seguridad-en-el-uso-de-macros-en-las.html )

El viernes por la mañana se dio a conocer que varias organizaciones en Europa estaban siendo atacadas por un caso de ransomware nuevo, la primera de la que tuve noticias fue Telefónica y junto con ella empresas del sector salud, servicios y varios más.

Este ransomware tiene características que no se habían visto en las infecciones anteriores; para ello hay que remontarnos un mes atrás.

• El 8 de abril se dio a conocer que estaban a la venta una serie de herramientas que presuntamente había sido desarrolladas por la NSA como herramientas para sus labores de inteligencia;
• El 14 de abril se hicieron públicas estas herramientas, que entre otras cosas, contienen varios mecanismos para tomar control de sistemas basados en Windows, llamados exploits en el argot informático;
• Microsoft advirtió ese día que las vulnerabilidades expuestas ya estaban parchadas, la mayoría un mes atrás.

Hasta ese momento la mayoría de los ataques de ransomware requerían de la interacción del usuario, abriendo un archivo infectado o instalando algo que permitía al malware activarse. Lo que hace especial a "WannaCry" es el uso de un exploit basado en una vulnerabilidad en el protocolo SMB (parte del sistema para compartir archivos en Windows), que permite tomar control del equipo y ejecutar código de forma remota. "WannaCry" aprovecha esta situación y se instala de forma remota, así que, al infectar un sistema, además de cifrar su información, se esparce a los demás equipos con la vulnerabilidad en SMB.

De esta manera, miles de equipos fueron tomados y su información cifrada, pidiendo $300 USD en Bitcoin, cantidad que se duplicaría pasadas 48 horas, amenazando con borrar los archivos después de eso. Ya se ha dicho mucho sobre que de haber sido actualizados y aplicados los parches de seguridad a tiempo, esto no habría pasado; la mayoría de los usuarios no aplicó estas actualizaciones por negligencia o flojera, yo he escuchado argumentos como «las actualizaciones me quitan tiempo, así que las desactivé» o «me pide reiniciar mi equipo y es molesto, por eso no las tengo activas», lo cual me parece inaceptable para el usuario promedio. Activen las actualizaciones automáticas y PUNTO.

Sin embargo, la situación es un poco más compleja en sectores como el industrial o de salud, donde los fabricantes de software y equipos exigen que para mantener la garantía los sistemas corran bajo configuraciones específicas (stack), que en muchos casos son actualizadas una vez al año o menos. También hay casos donde los administradores de los sistemas no tienen la posibilidad de actualizar al no contar con los usuarios de administrador (paradójico, ¿no?) de los sistemas, o son sistemas de terceros que corren en su infraestructura. Así que podría haber varias razones por las cuales no es posible actualizar. En lo personal, creo que son la minoría de los casos, pues la mayoría de los casos no se actualiza por “falta de tiempo” o supuesta imposibilidad para aplicar el parche que requiere reiniciar el sistema. Créanme, la mayoría de las veces esto solo es flojera.

De cualquier forma, para todos aquellos que vivan en un entorno donde no tengan control sobre algunos equipos y no puedan ser actualizados, lo que hay que hacer es:

• Actualizar el resto de los equipos, seguramente no todos los equipos en la red ejecutan los sistemas que necesitan correr el stack certificado, esos deben ser actualizados.
• Cerrar los puertos no utilizados, por medio de un firewall, ya sea de hardware o software. Así como deshabilitar los servicios que no se utilizan, en particular SMB v1.0

https://twitter.com/pcoronaf/status/863442514937757696

• No exponer a internet servicios que solo se necesitan en la red interna; por ejemplo, si en la red se utilizan carpetas compartidas, lo más probable es que esto solo deba hacerse dentro de la organización, así que ese servidor o equipo no requieren estar expuestos a internet. Si así lo fuera habría que implementar una VPN corporativa.
• Limitar las funciones, aplicaciones y sistemas que se realizan y ejecutan en los equipos que no pueden ser actualizados, de preferencia mantenerlos en redes aisladas y con el mínimo número de usuarios.

Lo anterior, complementado con respaldos periódicos y concientización de seguridad para evitar caer en engaños para abrir o instalar malware a través de adjuntos en correos, ligas a internet, almacenamiento en la nube o dispositivos removibles (USB), permitirá reducir al máximo la posibilidad de tener problemas por un ransomware.

Para los curiosos, algunos datos interesantes y de numeralia:

• Se han detectado más de 237,000 equipos infectados en más de 99 países https://thehackernews.com/2017/05/wannacry-ransomware-cyber-attack.html
• Hay una cuenta de twitter que lleva cuenta de los pagos recibidos en las 3 billeteras de Bitcoin relacionadas con WannaCry https://twitter.com/actual_ransom

The three bitcoin wallets tied to #WannaCry ransomware have received 194 payments totaling 31.38971127 BTC ($53,453.58 USD).

— actual ransom (@actual_ransom) May 15, 2017

• En la última actualización, al momento de escribir este artículo, se han recibido 53 mil dólares aprox. Lo cual a mí me parece poco dinero a cambio de ser buscado en 170 países como criminal.
• El malware contenía un mecanismo de apagado (kill switch) que lo inhabilitaba si cierto dominio era accesible, un investigador descubrió esto, al parecer por accidente, y detuvo las infecciones, por lo menos de esa versión.
• El CERN de España publicó un programa que previene la infección de "WannaCry" https://www.ccn-cert.cni.es/en/updated-security/ccn-cert-statements/4476-herramienta-para-prevenir-la-infeccion-por-el-ransomware-wannacry.html
• Al parecer ya circula una nueva versión que no tiene el kill switch y puede seguirse dispersando; no está 100% confirmado, pero tampoco es difícil pensar que suceda, pueden venir variantes del mismo o software que explota vulnerabilidades similares. https://thehackernews.com/2017/05/wannacry-ransomware-cyber-attack.html?m=1
• Dada la gravedad del asunto y el número de sistemas legados que fueron infectados, Microsoft liberó parches para versiones que ya no tiene soporte como Windows XP, Windows 2003, Windows Vista, etc, situación sin precedente https://thehackernews.com/2017/05/wannacry-ransomware-windows.html
• Microsoft culpó a la NSA por haber desarrollado los exploits como herramientas de inteligencia, sin notificar a los fabricantes (no solo había vulnerabilidades de sistemas Microsoft), y comparó el asunto con desarrollar misiles que después fueron robados https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack/#sm.00000yitrr3izdsbwzu280l8jf468

An equivalent scenario with conventional weapons would be the U.S. military having some of its Tomahawk missiles stolen. And this most recent attack represents a completely unintended but disconcerting link between the two most serious forms of cybersecurity threats in the world today – nation-state action and organized criminal action.