WannaCry: Un análisis post-mortem

  • Opinión

Mariano Benito GMV

El 12 de mayo, un ataque de tipo ramsomware impactó en varias empresas relevantes de todo el mundo. El ataque motivó también que, ya por precaución, ya para contención, se activasen los protocolos de incidencias de estas empresas y/o el apagado de sus redes informáticas.

Realmente, ¿Alguien se sorprendió de que ocurriese este incidente? El ransomware lleva siendo uno de los vectores de ataque más frecuentes y rentables que utilizan los malos para lograr sus objetivos. Es rápido, sencillo, efectivo, se transforma en dinero con facilidad. Debemos reconocer que tiene un éxito notable. En los últimos (digamos) tres años y fundamentalmente en usuarios particulares y pequeñas empresas, ha habido múltiples incidentes y muchas pequeñas grandes tragedias.

Lo realmente sorprendente fue el uso combinado de ransomware y gusano. La clave se llama CVE-2017-0145(2), MS17-010 (3) o “Eternalblue”. Se trata de una vulnerabilidad en el servicio SMB de Windows que permite ejecución remota del código que desee el atacante. En 2015 fue (presuntamente) detectada por la NSA y utilizada para el desarrollo de la herramienta “EternalBlue”. Su código fuente fue revelado el 14 de abril de 2017, abriendo el camino a su utilización. ¿Cómo? Por ejemplo, para distribuirse en una red con visibilidad SMB (como por ejemplo la de muchas grandes empresas) saltando de equipo en equipo. Para ello, WannaCry ejecuta dos tareas: replicarse en los demás equipos de la red; y ejecutar el malware wannacrypt0r. Esta segunda parte es mucho más llamativa y fácilmente detectable, y facilitó a las empresas detectar el ataque y lanzar sus procedimientos de respuesta.

¿Qué opciones de defensa teníamos ante WannaCry? realmente muchas y de las ya conocidas.

En primer lugar, la mejor protección es tener un buen plan de copias de seguridad. ¿Qué cifran el disco duro? Ningún problema, basta con reinstalar el equipo, restaurar la información afectada desde copia de seguridad y problema resuelto. Claro que en redes de miles de equipos es más práctico desconectar la red cuando hay pocos infectados y restaurar esos equipos antes de que infecten a otros.

La segunda medida es específica de este ataque particular y ya la había ofrecido Microsoft en el mes de marzo de 2017. La aplicación del parche MS17-010 permite eliminar la vulnerabilidad que usa WannaCry para propagarse y lo convierte en ramsomware normal. En este punto, la duda recurrente es por qué no estaba ya aplicado un parche de categoría crítica publicado dos meses antes. Cada organización tendrá su respuesta: Lo que es evidente es que el parche no estaba instalado en todos los equipos, ni en todas las organizaciones. También es evidente que no es sencillo aplicar parches en organizaciones de miles de equipos y/o extendidas geográficamente y/o con equipos en servicios en tiempo real y/o cuando depende del usuario particular. En todo caso, este punto debe ser un área de mejora clara en las organizaciones afectadas por WannaCry. Y posiblemente, en bastantes de las no afectadas.

La tercera medida explota una debilidad del propio código de WannaCry. Antes de propagarse o cifrar los equipos, hace una comprobación DNS para el dominio www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com  y alguno otro similar. Si el dominio existe, el ataque para inmediatamente. Así, el registro del dominio que un investigador de malware había completado a las 48 horas del inicio del ataque detuvo este ataque a nivel mundial. También hubiera sido válido el registro (ficticio) del dominio en los DNS internos, parando el ataque a nivel de cada organización.

Además, se han propuesto muchas otras soluciones, tales como el filtrado de los puertos 137 y 138 udp, y 139 y 445 tcp; firmas de antivirus, ajuste de los sistemas NAC y/o DLP. Sobre todo en los primeros minutos del ataque, bienvenidas fueron.

Es recomendable no pagar el rescate pedido ya que, se rescate o no la información, en realidad se están financiando los siguientes ataques.

En definitiva, WannaCry llegó, causó mucho revuelo y pocos daños por la excelente respuesta de los profesionales de la seguridad. Pero es una oportuna llamada de atención a los máximos responsables de las organizaciones (y también a los responsables de seguridad, de negocio y CIOs) para que se aumente de forma expeditiva la dedicación de recursos a la seguridad. Y para mejorar en las prácticas actuales de las organizaciones en la materia.

Mariano J. Benito Director de Seguridad/CISO de GMV

TAGS Seguridad, Opinión

CONTENIDO RELACIONADO

CONTENIDO RECOMENDADO