Una vulnerabilidad de Windows, utilizada en gran escala ha dado pie a un incidente muy importante de secuestro de PCs en todo el mundo usando el malware Wanna Cry. El ataque da para todo, desde la sospecha que se usa una herramienta filtrada de la NSA, en adelante
Hoy no es el comienzo del Apocalipsis informático, pero si puede tratarse de uno de los ensayos más profundos para estar listos para ese día. Un ransomware, capaz de replicarse sólo –al menos dentro de una red local de máquinas Windows—ha causado daños en redes de hospitales y empresas en el Reino Unido, España –incluyendo los Call Center de MoviStar y el del Banco BBVA— y hasta la empresa norteamericana de envíos FEDEX, y varias docenas de empresas en docenas de países más. Un mapa publicado por Forbes y elaborado por el sitio web malwaretech.com muestra como al medio día ya el ataque se había esparcido por todos los continentes habitados, en mayor o menor manera, con varios focos en América Latina, al punto que el Ministerio TIC de Colombia, MinTIC, ya respondió con sendo comunicado.
Por primera vez un malware de ransomware logra replicarse de manera tan efectiva, supuestamente gracias al uso de una herramienta filtrada por los hackers desde nada más y nada menos que la NSA –la Agencia de Seguridad de los Estados Unidos. La herramienta usada, podría ser la llamada “eternal blue” y aprovecha una vulnerabilidad que –créalo o no—fue parchada recientemente por Microsoft, pero que muchos gobiernos y grandes corporaciones NO HABIAN APLICADO. Razón de más para que mañana mismo haya docenas de vacantes de CIOs y Gerentes de sistemas en todo el mundo.
El malware en cuestión es conocido como Wanna Cry y cifra el disco duro de la máquina, colocando extensiones .WNCRY y deja un archivo PleaseReadMe.txt con las instrucciones para pagar el rescate que ha sido entre US$300 y US$600 según reportes. Por supuesto el pago se realiza en Bitcoins, imposibles de rastrear.
El gran diferenciador de este ataque es el uso del protocolo SMB que comunica máquinas Windows dentro de un entorno y permite pasar por alto ciertas consideraciones de seguridad. Se teme que el ataque haya sido realizado en dos fases, una primera fase de ingeniería social para lograr entrar a la red y una segunda fase de replicación automática aprovechando las fallas en el SMB.
Les dejo esta interesante nota sobre el porqué del recrudecimiento de los ataques de Ransomware.
Apocalipsis cibernético: la madre de todas las batallas
Por Gabriel Izquierdo – CEO de BTR Consulting
Dice la biblia en el Apocalipsis, “y vi en la mano derecha del que estaba sentado en el trono un libro escrito por dentro y por fuera, sellado con siete sellos”.
Quizás sea la descripción más cercana al ransomware que podamos encontrar en la biblia, lo cual resulta paradójico, por lo viejo y por lo actual.
Hagamos un poco de historia
El ransomware, es un tipo de ataque considerado de la “vieja escuela”, que surge con los “bloqueadores” y con el correr del tiempo se potenció con el cifrado.
Este malware que bloqueaba el acceso al sistema operativo o a un navegador era considerado como muy rentable y los ciberdelincuentes del siglo pasado lo usaban con asiduidad. Los expertos en seguridad en conjunto con los organismos policiales aceptaron el reto y resolvieron el problema rápidamente.
Encontraron una solución inteligente y golpearon el negocio de los ciberdelincuentes desde el corazón de los sistemas de pago.
Cuando la regulación de los pagos electrónicos fue actualizada, la ciberdelincuencia quedó expuesta aumentando el riesgo y ahogando el negocio de los criminales.
Evolución Cibercriminal
Hace poco más de un lustro, en 2009 para ser exacto, la evolución tecnológica fue un factor clave para el cambio de escenario.
Nace el Bitcoin, se vuelve permeable en todo el planeta y gana la confianza entre los ciberdelincuentes.
La moneda cifrada es, a la vez, un activo digital y un sistema de pago imposible de rastrear o regular. El amor entre los ciberdelincuentes y la criptomoneda fue instantáneo, a primera vista.
Esta nueva perspectiva permitía redoblar la apuesta: en lugar de bloquear el acceso, fueron por la información sensible, comenzaron a cifrar los archivos de los discos rígidos de las víctimas.
En lugar de atacar archivos que podían ser fácilmente restaurados, optaron por atacar archivos únicos de los usuarios, que detentan un valor personal que el usuario mejor que nadie es capaz de valorar. A partir de allí, el mundo de la seguridad informática cambió para siempre.
Amanecer en el Apocalipsis
La osadía del mundo cibercriminal crece de forma exponencial, día a día se corren los límites e internamente, todos esperábamos el día en el que lanzaran la madre de todas las bombas lógicas.
El día ha llegado, en la mañana de hoy comenzaron a llegar noticias de España, sobre un ataque masivo a Telefónica de España, luego se sumaban BBVA, Santander, Vodafone, y avanzado el medio día en Argentina comenzaron a llegar noticias sobre hospitales en el Reino Unido, Universidades de Italia, empresas de Rusia y luego informes confidenciales que llegaban a nuestros escritorios, daban cuenta de ataques ocurridos en América Latina.
Nuestro análisis apunta a que el vector de ataque ha podido ser algún tipo de spam con un adjunto que alguno de los usuarios ejecutó dentro de la intranet empresarial.
Haciendo Drill Down en el Exploit
A partir de ahí el exploit aprovechó la vulnerabilidad no parcheada de Microsoft para instalar el ransomware y para propagarse por la red a la velocidad de la luz, agregando la extensión .WNCRY a todos los archivos infectados.
En paralelo crea un archivo PleaseReadMe.txt en donde explica como efectuar el pago.
El vector utilizado es Wanna Decrypt0r 2.0 y según pudimos recabar en foros de la Dark Web que explotaron la vulnerabilidad MS17-010 usando EternalBlue, una de las herramientas que pertenecía supuestamente a la NSA y fue liberada por el grupo malicioso Shadow Brokers.
Cabe recordar que en marzo fue liberado el parche para la vulnerabilidad MS17-010 pero en compañías con sistemas heredados de Windows XP y Windows2003 servers, no cuentan con parches para reparar el problema.
Esto explica la rápida propagación que tuvo el caso, una mezcla de desidia que llevó a algunas empresas a abandonar las buenas prácticas que tanto pregonamos, día tras día, y la elasticidad de los sistemas, que no es infinita
