Desde Mayo 2017 se han registrado más de 439,000 ciberataques a computadoras y servidores alrededor del mundo afectando a casi 150 países entre ellos Rusia, España, Reino Unido, Alemania y Japón entre otros. Estos ciberataques lograron paralizar la actividad de varias empresas tales como Telefónica de España, los hospitales del National Health Service de Inglaterra, Deutsche Bahn, la empresa de ferrocarril de Alemania.
La causa raíz de estos ataques fue la propagación indiscriminada de un código malicioso llamado “ransomware”.
¿Qué es el ransomware?
El ransomware es tipo de ataque cibernético que permite a los ciberdelincuentes tomar el control total de un sistema informático y de la información que éste contiene bloqueando el acceso a esta hasta que se pague un rescate.
Para que los ciberdelincuentes accedan al sistema, necesitan que la víctima descargue y ejecute un software malicioso en el sistema informático. Esto se logra a través de ataques de tipo “spear phishing” o “ingeniería social” haciendo que la víctima haga clic en un enlace y/o archivos enviados típicamente por correo electrónico, mensajería instantánea o redes sociales.
Una vez que el software esté en ejecución en la computadora de la víctima, éste bloquea todos los archivos: documentos, archivos musicales y fotografías serán inaccesibles.
En nuestro blog hemos analizado otros casos de ransomware, para más información pueden leer los siguientes artículos:
Ransomware: como evitar ser chantajeado y vivir feliz:
El ransomware tiene algunas características clave que lo diferencian de otros programas maliciosos
- Cuenta con cifrado que es prácticamente imposible de romper, esto significa que no puede descifrar los archivos por su cuenta;
- Tiene la capacidad de cifrar todo tipo de archivos, documentos, imágenes, videos, archivos de audio que estén almacenado en el disco duro de una computadora;
- Puede codificar los nombres de los archivos, por lo que no es posible conocer cuales son los archivos afectados. Este es uno de los trucos de ingeniería social utilizados para confundir y obligar a las víctimas a pagar el rescate;
- Añade una extensión diferente a los archivos, para indicar un cierto tipo específico de ransomware (en éste caso .wcry, .wnry, wncry);
- Muestra una imagen o un mensaje que informa que sus datos han sido cifrados y que es necesario pagar una suma específica de dinero para recuperarlos;
- Se solicita el pago en Bitcoins, porque esta cripto-moneda no puede ser rastreada;
- Los pagos del rescate tienen un límite de tiempo, para agregar otro nivel de presión psicológica a éste esquema de extorsión. Al no realizar el pago dentro de la fecha y hora límite, la cantidad para el rescate aumentará y de no pagarse los datos serán destruidos sin posibilidad de recuperación.
- Utiliza un conjunto complejo de técnicas de evasión para no ser detectado por los antivirus tradicionales;
- A menudo recluta las computadoras infectadas en botnets, por lo que los ciberdelincuentes pueden expandir su infraestructura y alimentar futuros ataques;
- Puede propagarse a otras computadoras conectadas en una red local, creando más daño (actúa como un worm o gusano);
- Cuenta con capacidades de exfiltración de datos, lo que significa que ransomware puede extraer datos de la computadora afectada (nombres de usuario, contraseñas, direcciones de correo electrónico, etc.) y enviarlo a un servidor controlado por ciberdelincuentes;
- A veces incluye la orientación geográfica, lo que significa que la nota de rescate se traduce al idioma de la víctima, para aumentar las posibilidades de que se pague el rescate, como en el caso de Wanna Cry;
¿Por qué el ransomware no es detectado por los antivirus?
El ransomware pertenece a la categoría llamada “malware de segunda generación” y los productos antivirus se han quedado atrás en términos de eficacia porque carecen de la capacidad de detectar y eliminar éste tipo de malware avanzado.
El tiempo promedio para que un productor de antivirus detecte un código malicioso y libere la “vacuna” correspondiente es de aproximadamente dos días. Durante éste lapso de tiempo, pueden ocurrir varias actividades fraudolentas tales como recolección de información financiera (credenciales de banco en línea, nombres de usuario y contraseñas, etc.) y luego cifrar la información a través de una infección de ransomware. Este tiempo es demasiado largo y la protección no es suficiente.
¿Qué es el spear phishing?
El “phishing” es la práctica de enviar mensajes por correo electrónico en los cuales los ciberdelincuentes se hacen pasar por una fuente bien conocida, como un banco o un proveedor de servicios públicos importantes. Al hacer clic en el enlace indicado en el correo (típicamente se incluyen mensajes intimidatorios tales como “tu cuenta será suspendida” para convencer a la víctima a hacer clic en el link), la víctima es llevada a un sitio aparentemente autentico, pero fraudulento, que recogerá toda información de acceso que se haya introducido y que pueda instalar malware en el sistema informático.
El “spear phishing” es una versión más sofisticada: los correos electrónicos se dirigen a la víctima por su nombre completo y con otra información personal y pueden aparecer que provienen de algún superior en organización, del proveedor de correo electrónico, banco etc. que le advierte que cambie la contraseña o que abra un cierto archivo.
Dinámica del ataque
El 12 de mayo de 2017 el ransomware “Wanna Cry” (así llamado porque todos los archivos cifrados tienen extensión “.wcry, .wnry, wncry) comenzó a afectar las computadoras en varias partes del mundo.
La infección inicial pudo haber sido a través de una vulnerabilidad en las defensas de la red o un ataque de spear phishing muy bien diseñado. Una vez que esté en ejecución, lo primero que el ransomware realiza es validar la existencia del dominio Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[dot]com que los expertos de seguridad definieron como “kill switch”. Si no lo encuentra activo entonces el ransomware cifra la unidad de disco duro de la computadora y a continuación intenta explotar la vulnerabilidad del servicio SMB a través de un exploit llamado “Eternalblue” y poder así propagarse realizando escaneos de la red local y de direcciones IP en Internet que tengan activos los puertos 445 y 139.
Una vez que los datos de la computadoras hayan sido cifrados, se muestra un mensaje informando al usuario que los archivos han sido encriptados y exige un pago de $300 en Bitcoins dentro de tres días.
¿Qué es el “kill switch”?
El viernes, un experto en temas de seguridad informática (que prefirió no divulgar su identidad, es identificado por su cuenta twitter “@MalwareTechBlog”), mientras trabajaba realizando actividades de ingeniería inversa sobre muestras de Wanna Cry, descubrió que los programadores del ransomware implementaron un control para comprobar si una cierta URL con un nombre largo y sin sentido:
“Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[dot]com”
llevaba a una página web existente. @MalwareTechBlog, curioso sobre por qué el ransomware buscaba ese dominio, decidió registrarlo. Sin saberlo, el resultado de esa inversión de $10.69 fue suficiente para disminuir de forma significativa y luego detener las infecciones del ransomware.
La lógica de funcionamiento es la siguiente: el ransomware se instala en la computadora y revisa si el dominio Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[dot]com se encuentra registrado y activo, de no ser así procede con el cifrado de la información de la computadora infectada y sigue con su propagación tratando de identificar otros sistemas vulnerables; en caso de encontrar ese dominio activo, detiene sus operaciones de cifrado. Por esta razón, después que @MalwareTechBlog registró el dominio, los ataques fueron detenidos.
Lamentablemente ésta medida no fue útil para las computadoras que ya estaban infectadas por el ransomware.
¿Qué es la vulnerabilidad de SMB “EternalBlue”?
Un poco de historia: durante el mes de Marzo del 2017 un grupo de ciberdelincuentes conocido como “Shadow Brokers” hizo públicas una serie de “armas tecnológicas” supuestamente desarrolladas por la NSA – National Security Agency de Estados Unidos de América y que exponía varias vulnerabilidades de tipo “zero day” en Windows y, entre ellas, se encontraba una vulnerabilidad que abusa de configuraciones por defecto del protocolo SMBv1. Una vez que el exploit (llamado “Eternalblue”) es exitoso, procede a la instalación de una puerta trasera conocida como “DoublePulsar”.
El día 14 de marzo 2017 Microsoft publicó los parches de seguridad para corregir la vulnerabilidad del servicio SMB (en el security update MS17-010); sin embargo muchas empresas no aplicaron la actualización de seguridad y por ende la propagación del ransomware Wanna Cry fue muy exitosa.
Versiones de Microsoft Windows vulnerables
A continuación la lista de las versiones de Microsoft Windows vulnerables al ataque ransomware:
- Windows XP
- Windows Vista
- Windows 7
- Windows Server 2003
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2012
- Windows 8
- Windows 8.1
Debido al gran impacto que tuvo el ransomware Wanna Cry a nivel mundial, Microsoft liberó de forma extraordinaria un parche de seguridad también para el sistema operativo Windows XP y otras versiones de Windows cuyo soporte ha sido descontinuado. A pesar de que el productor de sistemas operativos haya sugerido actualizar las versiones Windows obsoletas, en muchas empresas todavía se siguen ocupando sin considerar los riesgos de seguridad implicados.
Indicadores de equipo comprometido
Es muy fácil identificar si un equipo ha sido comprometido por el ransomware ya que será imposible acceder a la información. Además, si se identifican los siguientes archivos es probable que el sistema haya sido comprometido por el ransomware Wanna Cry:
- %SystemRoot%\mssecsvc.exe
- %SystemRoot%\tasksche.exe
- %SystemRoot%\qeriuwjhrf
- b.wnry
- c.wnry
- f.wnry
- r.wnry
- s.wnry
- t.wnry
- u.wnry
- taskdl.exe
- taskse.exe
- 00000000.eky
- 00000000.res
- 00000000.pky
- @WanaDecryptor@.exe
- @Please_Read_Me@.txt
- m.vbs
- @WanaDecryptor@.exe.lnk
- @WanaDecryptor@.bmp
- 274901494632976.bat
- taskdl.exe
- Taskse.exe
- Files with “.wnry” extension
- Files with “.WNCRY” extension
Se crea la siguiente llave en el registro de Windows:
- HKLM\SOFTWARE\WanaCrypt0r\wd
Empresas afectadas a nivel mundial
Varias empresas de varios sectores han sido afectadas por el ransomware WannaCry tales como sector industria, manufactura, gobierno, salud, telecomunicaciones, transporte, educación y financiero.
A continuación un listado de las empresas afectadas (el elenco pudiera no estar completo):
- São Paulo Court of Justice (Brasil)
- Vivo (Telefônica Brasil)(Brasil)
- Lakeridge Health(Canada)
- PetroChina(China)
- Public Security Bureaus(China)
- Sun Yat-sen University(China)
- Instituto Nacional de Salud (Colombia)
- Renault(Francia)
- Deutsche Bahn(Alemania)
- Telenor Hungary(Hungría
- Andhra Pradesh Police(India)
- Dharmais Hospital (Indonesia)
- Harapan Kita Hospital (Indonesia)
- University of Milano-Bicocca(Italia)
- Q-Park(Holanda)
- Portugal Telecom(Portugal)
- Automobile Dacia(Rumania)[70]
- Ministry of Foreign Affairs (Rumania)
- MegaFon(Rusia)
- Ministry of Internal Affairs (Rusia)
- Russian Railways(Rusia)
- LATAM Airlines Group(Chile)
- Banco Bilbao Vizcaya Argentaria(España)
- Telefónica(España)
- Sandvik(Suecia)
- Garena Blade and Soul (Tailandia)
- National Health Service (England)(Reino Unido)
- NHS Scotland(Reino Unido)
- Nissan UK(Reino Unido)
- FedEx(Estados Unidos de América)
- Massachusetts Institute of Technology(Estados Unidos de América)
- Saudi Telecom(Arabia Saudita)
Fuente: Wikipedia.org
La operación en las empresas víctimas del ataque se vio seriamente afectada ya que se verificó la detención completa de las actividades productivas con una mención especial para el sector salud, el personal médico no tuvo acceso a información y a los equipos con consecuentes riesgos para los pacientes.
Mitigación y remediación
Lado cliente:
- Mantener los sistemas actualizados: si se están utilizando versiones compatibles pero antiguas del sistema operativo Windows, mantener los sistemas actualizados a través de Windows Update o, de ser posible, actualizar al sistema operativo Windows 10 ya que no es vulnerable al ransomware Wanna Cry. Aplicar los parches indicados en el boletín de seguridad MS17-010 emitido por Microsoft el 14 de Marzo 2017.
- Versiones obsoletas de Windows: Si están utilizando versiones obsoletas de Windows, incluyendo Windows XP, Vista, Server 2003, 2008 y 2012, aplicar el parche de emergencia publicado por Microsoft.
- Actualizar software externo al sistema operativo: a menudo softwares como Adobe Flash y Java son utilizados como vectores de ataque, como medida adicional se sugiere actualizar todos los software externos al sistema operativo.
- Deshabilitar SMBv1: como medida más drástica, deshabilitar el servicio Server Message Block (SMBv1) de acuerdo a las instrucciones indicadas en el Microsoft Knowledge Base Article 2696547. Como medida adicional se sugiere deshabilitar también el servicio de Escritorio Remoto – RDP Remote Desktop Protocol.
- Deshabilitar servicios y puertos no necesarios: detectar los servicios activos en cada sistema y los puertos en estado “LISTEN” y deshabilitar los que no sean estrictamente necesarios.
- Mantener actualizado el software antivirus: las definiciones de virus ya han sido creadas para ofrecer protección contra esta última amenaza.
- Realizar respaldos regularmente: Para tener siempre un control estricto de todos los archivos y documentos importantes, establecer una buena política de respaldo y guardar los respaldos en otros servidores distintos (no localmente en las computadoras).
- Phishing: desconfíar de los documentos no solicitados enviados por correo electrónico y nunca hacer clic en los enlaces dentro de esos documentos a menos que no sea posible verificar la fuente.
- En caso de ser víctima del ransomware se sugiere no realizar el pago para rescatar la información, de esta forma se fomenta este tipo de actividades criminales. Además no se tiene la garantía de que una vez que se haya realizado el pago se recibirá la llave de descifrado.
Lado seguridad perimetral:
- Bloquear el tráfico entrante SMB: modificar la configuración para bloquear el acceso a los puertos SMB a través de la red o de Internet. El protocolo opera en los puertos TCP 137, 139 y 445 y en los puertos UDP 137 y 138. Como medida adicional se sugiere deshabilitar también el servicio de Escritorio Remoto – RDP Remote Desktop Protocol.
- Actualizar los sistemas de detección y prevención de de intrusiones (IDS/IPS).
Situación actual después de 5 días
Según el analista e investigador de Kaspersky Lab para América Latina, Dimitri Bestuzhev, México es el país con más ciberataques del virus WannaCry en esta zona y el quinto a nivel mundial. De acuerdo a los datos de Kaspersky Lab, México es el país número uno en Latinoamérica en ser afectado por la campaña del ransomware WannaCry y rebasó Brasil ya que éste país llevaba el primer lugar el viernes cuando empezó la difusión masiva del malware.
Siempre de acuerdo a la información de Kaspersky, México se encuentra en el quinto lugar a nivel mundial por la cantidad de disparos de WannaCry en el país.
Varios investigadores de seguridad han afirmado que hay más muestras de Wanna Cry con diferentes dominios “kill-switch” y sin ninguna función “kill-switch” que siguen infectando computadoras sin parches en todo el mundo. Los ataques por parte del ransomware continuarán ya que existen muchos sistemas Microsoft Windows vulnerables. Nuevas versiones del ransomware están siendo desarrolladas con técnicas de propagación e infección aún más sofisticadas.
La única forma para protegerse contra estos ataques es la prevención, es necesario siempre estar un paso adelante que los ciberdelincuentes y poder así neutralizar sus ataques.
Actividades de auditoría y prevención de Enigm4 Sec
Enigm4 Sec pone a su disposición el servicio de auditoría gratuita para identificar problemáticas de seguridad dentro de su red corporativa y poder así prevenir los ataques ransomware.
Nuestros consultores de seguridad informática (también llamados “hackers éticos”) utilizan sus habilidades, técnicas y conocimientos para identificar brechas de seguridad en la infraestructura tecnológica de la empresa exactamente como lo haría un ciberdelincuente que trate de encontrar vulnerabilidades y sustraer información de su red corporativa.
Contáctenos para agendar su evaluación gratuita y poder así evitar que el nombre de su empresa sea agregado a la lista de las víctimas.