Qué hacer después de un ciberataque global como WannaCry
Después de mucho tiempo haciéndonos eco sobre ciberataques de ransomware a nivel global, el pasado viernes uno de ellos ha llegado a tal grado de magnitud que ha ocupado las portadas de todos lo medios de información general. Ahora toca volver a la rutina, y la alarma social sobre lo que puede pasar, mayor que nunca, obliga a ofrecer una serie de explicaciones y consejos.
Tal y como informa la compañía de seguridad Check Point, el ransomware que ha protagonizado este último ataque sin precedentes se conoce como WannaCry (también denominado WannaCrypt por otras organizaciones de ciberseguridad), afecta a sistemas Windows y una de sus principales características es que es capaz de propagarse desde un equipo infectado a otros ordenadores “limpios” dentro de la red. Por ello, este ataque ha sido especialmente agresivo en los sistemas internos de las empresas.
Según las estimaciones de la Europol de este lunes, hay ya 200.000 afectados-principalmente empresas- de 150 países como consecuencia del ransomware. Entre las empresas afectadas se encuentran hospitales y centros de salud de Reino Unido, Renault, Telefónica Portugal Telecom, Nissan, el Ministerio de Interior ruso o FedEx.
Por su parte, el Instituto Nacional de Ciberseguridad (INCIBE) informaba también el lunes que desde el inicio del ataque y hasta ese momento, se habían identificado a nivel mundial más de 230.000 equipos infectados por las diferentes variantes de WannaCrypt en un total de 179 países distintos. España ocupa la posición 16 del ranking por países, con tan sólo 1.200 infecciones confirmadas de dos de las variantes del virus WannaCrypt desde que se inició el ataque. Los países más afectados serían principalmente China, Rusia, EEUU y Reino Unido, destacando además que en estos países se habrían afectado a sistemas o redes que podrían haber impactado en servicios esenciales de salud, transporte o sistema financiero, si bien estas infraestructuras no eran el objetivo principal del ciberataque.
¿Cómo es posible que los sistemas de seguridad no lo hayan detectado?
La seguridad nunca está garantizada al cien por cien y, en este caso, el factor humano ha tenido un papel importante: el malware ha conseguido penetrar a través de una vulnerabilidad de un equipo desactualizado utilizando la técnica del phishing. Es decir, ha sido un empleado el que ha abierto un correo electrónico que contenía el malware y esto ha desencadenado el problema a gran escala.
Según Mario García, director general de Check Point para España y Portugal “estamos ante un ataque nunca antes visto. Las dimensiones y la agresividad de este incidente global ponen de manifiesto la importancia que tiene la seguridad. No estamos hablando de ciencia ficción ni de ataques aislados: el ransomware es una realidad que, desgraciadamente, crece de forma exponencial, y que cada vez va a afectar más a los entornos empresariales. Tenemos que pasar de las recomendaciones a la obligatoriedad: la realidad es que la seguridad IT es absolutamente imprescindible y hechos como el que acabamos de vivir lo demuestran”.
Y de vuelta a la oficina…¿qué podemos hacer?
La herramienta más eficaz para luchar contra el ransomware es la prevención. Las medidas principales que debe tomar toda empresa son:
1. Hacer copias de seguridad de los ficheros y archivos. El almacenamiento cloud y las redes corporativas tienen cada vez más protagonismo y se está perdiendo la costumbre de hacer copias de seguridad. Tener un duplicado de toda la información y los archivos es vital para evitar el sobresalto de un secuestro.
2. Formar a la plantilla para que detecten amenazas potenciales. Una gran parte de las campañas de secuestro de datos siguen utilizando spam y phishing, como hemos podido comprobar en el caso de WannaCry. Por esta razón, la formación de los trabajadores es un elemento clave a la hora de evitar cualquier infección. Si son capaces de detectar los emails y las páginas web sospechosas, colaborarán de forma proactiva para mantener la empresa segura.
3. Limitar el acceso a los datos y archivos. Las compañías deben asegurarse de que los empleados sólo tienen acceso a los ficheros que necesitan para trabajar. Así, en caso de una infección, la información de los servidores no se verá comprometida al completo. Es necesario poner todas las barreras necesarias para que, en caso de ataque exitoso, no afecte a todos los datos corporativos.
4. Actualizar las herramientas de protección de la empresa y todos los sistemas operativos. Desde el punto de vista de la ciberseguridad, la actualización tanto de la solución como de los sistemas es fundamental.
5. Implementar una estrategia de seguridad con múltiples capas e incluir tecnologías de prevención contra amenazas avanzadas. Instalar una solución de seguridad multicapa es la mejor estrategia para evitar el secuestro de datos y sus desagradables consecuencias. Las compañías necesitan complementar sus soluciones de seguridad e IPS con herramientas avanzadas que les protejan contra el malware desconocido. Dos tecnologías clave que deben incluir son la desinfección de archivos y el sandboxing avanzado. Cada una de estas soluciones ofrece protección a un distinto nivel, pero combinadas con muy eficaces contra los ataques desconocidos a nivel de red y directamente en los endpoints.
Resúmen del funcionamiento de WannaCry
Según la investigación que ha llevado a cabo la compañía se seguridad S21sec, el vector de ataque ha sido mediante correos electrónicos con un documento adjunto que, al ser abierto por el usuario, permite la ejecución de un código malicioso (gusano).
Éste es el vector de ataque más usual, ya que permite, usando la ingeniería social, que la víctima abra cierto tipo de ficheros supuestamente inofensivos (pdf, doc, xls, etc.) que permiten la ejecución de malware en la máquina del usuario.
Dicho gusano explota una vulnerabilidad (conocida como EternalBlue) en el sistema de compartición de ficheros del sistema operativo Windows (parte del protocolo SMB) que permite propagar el malware a otras máquinas que estén en la misma red que la máquina infectada (y que no estuvieran convenientemente actualizadas o protegidas contra este problema de Windows).
De acuerdo con los datos disponibles hasta el momento, la explotación de dicha vulnerabilidad habría sido encargada por la NSA a la organización Equation Group. Posteriormente, el grupo The Shadow Brokers (TSB), pudo hacerse con esta información con el fin de comercializarla y, finalmente, publicarla (hecho que ocurrió el pasado 14 de Abril).
Las versiones supuestamente afectadas por esta vulnerabilidad serían todas las anteriores a Windows 10 que no estén parcheadas contra la vulnerabilidad documentada por Microsoft en su boletín de seguridad MS17-010 (publicado por Microsoft el 14 de Marzo).
Una vez la máquina está infectada por el gusano, éste extrae un payload con el ransomware, en concreto de la familia WannaCry, que es el nombre o palabra clave asociado a la oleada de noticias en todos los medios de comunicación. El malware de tipo “ransomware” es un tipo de amenaza que cifra los archivos de la máquina infectada solicitando un rescate económico, normalmente en bitcoins, ya que es un tipo de criptomoneda aceptada prácticamente a nivel global y que hace virtualmente imposible el rastreo de las personas o entidades que reciben las transferencias.
La decisión de multitud de empresas de pedir a sus trabajadores apagar los ordenadores y desconectarlos de la red se ha debido a que se exponían a perder información sensible, no sabiendo de primera mano si ésta podría ser recuperada mediante herramientas de descifrado o cuál podría ser el impacto real en los ordenadores o sistemas de toda la empresa. En la decisión de apagar las máquinas ha influido también la rápida propagación que estaba realizando el gusano.
Cabe destacar que, en esta versión del virus WannaCry, el cifrado de los archivos prosigue tras la aparición de la nota de extorsión, al contrario que en otras familias de ransomware que no muestran la nota hasta que el cifrado no se ha completado (esto hace recomendable que cualquier usuario que vea un mensaje de rescate en su pantalla proceda al apagado inmediato de su ordenador y se pongan en contacto con su departamento o empresa de servicios de IT o ciberseguridad).
Otro efecto que se ha observado durante la propagación del gusano ha sido el de ver ordenadores bloqueados y/o mostrando pantallas azules. Esta situación se produce como consecuencia del intento del virus de utilizar la vulnerabilidad antes descrita, provocando en ocasiones un fallo del sistema y el consiguiente bloqueo o reinicio. En estos casos, se recomienda apagar dichos ordenadores y evaluar posteriormente cuál ha podido ser el nivel de afectación (número de archivos encriptados).
¿Conexión entre Wanna Cry y el grupo Lazarus?
Por su parte, el fabricante de seguridad Kaspersky Lab, que sigue trabajando en una investigación desde que se detectó el ataque el viernes, aporta información acerca de la posible relación con el grupo de hackers Lazarus:
“El lunes 15 de mayo, un analista de seguridad de Google publicó un post en Twitter <https://twitter.com/neelmehta/status/864164081116225536> que señalaba una potencial conexión entre los ataques de ransomware de WannaCry que han afectado recientemente a miles de organizaciones de todo el mundo, y el malware atribuido al grupo Lazarus, responsable de una serie de ataques contra organizaciones gubernamentales, medios de comunicación e instituciones financieras. Las mayores operaciones vinculadas al grupo Lazarus incluyen: los ataques contra Sony Pictures en 2014, el ciberataque del Banco Central de Bangladesh en 2016 y una serie de ataques similares en 2017.
El analista de Google señaló la muestra del malware WannaCry, que apareció en febrero de 2017, dos meses antes de la reciente oleada de ciberataques.
Los analistas del GReAT de Kaspersky Lab analizaron esta información, identificaron y confirmaron similitudes de código entre la muestra de malware destacada por el analista de Google y las muestras de malware utilizadas por el grupo de Lazarus en los ataques de 2015.
Según Kaspersky Lab, la semenjanza, por supuesto, podría ser una pista falsa. Sin embargo, el análisis de la muestra detectada en febrero y la comparación con las muestras de WannaCry utilizadas en ataques recientes muestran que el código que señala al grupo Lazarus fue eliminado del malware WannaCry, usado en los ciberataques iniciados el viernes pasado. Esto puede ser un intento de los orquestadores de la campaña de WannaCry de ocultar pruebas .
Aunque esta semejanza no prueba que exista una conexión fuerte entre el ransomware de WannaCry y el del grupo de Lazarus, puede conducir potencialmente a nuevos que arrojen luz al origen de WannaCry, que por el momento sigue siendo un misterio”.