WannaCry

WannaCry es un ataque de ransomware descubierto el 17 de mayo de 2017, que fue dirigido a redes corporativas con sistema operativo Microsoft Windows como parte de un ciberataque masivo a nivel mundial. Se aprovechaba de un fallo de seguridad conocido como EternalBlue en una versión del protocolo Server Message Block (SMB) de Windows para propagarse en forma de “gusano” en redes específicas y exigiendo el pago de rescates en la criptomoneda Bitcoin.^[1]

Si bien Microsoft implementó rápidamente un parche contra el WannaCry, no todas las organizaciones fueron capaces de instalarlo a tiempo. De hecho, algunos clientes utilizaban versiones de Windows tan obsoletas que ni siquiera era posible aplicarles el parche.^[2]

El 11 de mayo de 2017, gran cantidad de organizaciones en Europa occidental y los EE. UU. recibieron preocupantes informes de que una cepa de ransomware se estaba propagando rápidamente usando el “exploit” EternalBlue para atacar una vulnerabilidad conocida en el Server Message Block (SMB).^[3] El WannaCry se volvió famoso por ser el primer ciberataque en el que un virus destructivo se aprovechó de vulnerabilidades en las redes para infectar ordenadores a gran escala.

¿Cómo infecta/ataca?

El ransomware WannaCry infecta a las redes mediante el “exploit” EternalBlue y se aprovecha de la vulnerabilidad del protocolo Server Message Block en el sistema operativo Microsoft Windows. El ransomware ha sido muy eficaz para penetrar versiones anteriores de Windows en los que los operadores de la red no instalaron las actualizaciones recomendadas oportunamente.

Una vez que este malware se propaga y se infiltra en una red, el cibercriminal encripta los datos en los sistemas infectados, bloqueando al legítimo dueño. Los perpetradores fuerzan a las víctimas a pagar un rescate para descifrar los datos y recuperar el acceso.

Los pagos de los rescates se hacen mediante criptomonedas, generalmente bitcóin.^[4]

¿Cómo se propaga?

Anteriormente, los cibercriminales distribuían el ransomware ya fuese mediante correo electrónico o una descarga web. Pero el WannaCry marcó el comienzo de una nueva ola de distribución de malware que aprovechaba las vulnerabilidades de la red para infectar ordenadores a gran escala.^[3]

Se propaga mediante un “exploit” llamado EternalBlue, creado por la Agencia de Seguridad Nacional de los EE. UU, que fue y posteriormente robado. EternalBlue les permitía a los atacantes descubrir ordenadores vulnerables en la red objetivo. El WannaCry también se aprovechaba de una “puerta trasera” de la NSA llamada DoublePulsar para instalar WannaCry en la red.

La prevención es mucho menos complicada que eliminar el WannaCry. Este gusano de ransomware infectó a más de 250.000 sistemas a nivel mundial. Las organizaciones infectadas no tienen más remedio que pagar el rescate o borrar completamente los sistemas infectados y restaurar los datos cifrados desde los “backups” o copias de seguridad (si es que los tienen).

Afortunadamente, unos investigadores de seguridad ─dos de ellos de Proofpoint─, hallaron un nombre de dominio codificado en el malware utilizado para gestionar las comunicaciones entre el atacante y los equipos infectados. El autor del WannaCry no había registrado el dominio, un descuido que permitió a los investigadores detener su propagación.

Una de las principales vulnerabilidades de las redes afectadas es precisamente la existencia de sistemas heredados que no cuentan con parches o que tienen una configuración deficiente. La mejor estrategia para proteger a estas redes consiste en instalar los parches más actualizados, validar su configuración de seguridad y probar su infraestructura de backup de seguridad para garantizar que sea posible restaurar equipos específicos y datos a nivel corporativo.

Una de las lecciones clave que nos dejó este ransomware y otros ciberataques relacionados, es ser diligentes en la estrategia de instalación de parches para actualizar los sistemas operativos. Las organizaciones a nivel mundial deben instalar los parches más recientes y tener copias de seguridad verificadas y listas para usar en caso de ataques ransomware WannaCry.

En términos más generales, las organizaciones deben adoptar un enfoque de múltiples vertientes para resolver el problema del ransomware ─y nunca asumir que la amenaza esté desapareciendo─.

La mejor estrategia de seguridad contra el ransomware es una mezcla de prestaciones de prevención, detección y recuperación. Como la inmensa mayoría del ransomware se propaga mediante correos electrónicos malintencionados, las organizaciones deben invertir en soluciones que bloqueen la entrega de correos electrónicos maliciosos.

La segunda medida de prevención requiere de una configuración de su entorno de informática especial para disuadir una de las maneras más comunes en que se propaga el ransomware: mediante macros malintencionadas en documentos. La mayoría de las organizaciones son capaces de bloquear el acceso a macros de los usuarios en documentos provenientes del exterior de la red sin interrumpir sus procesos empresariales.

Los controles de detección también ayudan mucho. Las herramientas de seguridad en redes y de puntos de contacto frecuentemente pueden evitar que el ransomware encripte los archivos de usuario o descarguen la clave de cifrado desde la infraestructura de control y comando del ransomware.

Por último, una estrategia de recuperación activa puede obrar auténticos milagros para protegerle contra el ransomware. Las organizaciones de mayor tamaño con sólidos procesos de “backup” pueden librarse de tener que pagar rescates; simplemente tienen que restaurar los datos cifrados (aunque esto les cueste algunas horas de mano de obra). En respuesta a esta precaución, ahora existen ransomware que intentan cifrar primero los equipos de copias de seguridad. Esto hace que tener una configuración de seguridad apropiada y actualizada sea fundamental para la estructura de “backup” como tal.

[1] ZDNet. “This malware just got more powerful by adding the WannaCry trick to its arsenal”
[2] Ryan Kalember (Proofpoint). “Worldwide WannaCry Ransomware Attack Hits 99+ Countries, Proofpoint Researchers Significantly Reduce Impact”
[3] Proofpoint. “Cybersecurity Predictions for 2018”
[4] Proofpoint. “Ransomware is Big Business”