La mañana del pasado viernes 12 de mayo ha sido sin duda una de las más aterradoras para los departamentos de IT alrededor del mundo. Un malware del tipo ransomware, llamado Wanna Cry (WCry, WannaCryptor, o WannaDecryptor 2.0), ha infectado mediante una campaña de difusión masiva a miles de ordenadores en cientos de empresas en alrededor de 99 países. Y la cuenta sigue aumentando, a la fecha de escribir estas líneas se confirman 75,000 empresas afectadas.
El ataque comenzó por las alertas emitidos en la central de Telefónica en España, luego en Universidades Chinas, el Ministerio de Interior en Rusia y así, otras organizaciones se fueron sumando a lo largo del día. En la mayoría de los casos, los usuarios de estas empresas no se vieron directamente afectados por los ataques, aunque hay que destacar que algunas empresas como Renault detuvieron sus operaciones.
Sin embargo, una de las organizaciones afectadas fue el Sistema Nacional de Salud Británico, cuyo ataque derivó en la inhabilitación de muchos centros asistenciales que operan con programas de citas médicas. Como resultado, muchos pacientes con citas previas no recibieron atención por falta de sus expedientes médicos y el orden de las citas. Es aquí donde podemos observar en primera fila la relevancia que hoy en día tienen los sistemas de información, y cuánta importancia debemos darle a la seguridad de esos sistemas. No es la primera vez que ocurre, y muchos expertos vaticinan que podría ser peor.
¿Qué es Wanna Cry y cómo se infectaron tantas organizaciones?
Se trata de la segunda versión de un ransomware que vio la luz por primera vez en Febrero de este año. Como todo ransomware, Wanna Cry encripta los archivos de uso común en un ordenador. A cambio de una clave para desencriptar los archivos, solicita en este caso un pago de US$ 300 en Bitcoins.
Lo interesante sobre este ransomware es el método por el cual se esta distribuyendo. Según las investigaciones, se utilizó un exploit presente en Windows Vista, Windows 7 y Windows Server 200 llamado de ‘EternalBlue’. Gracias a este exploit, los atacantes pueden ganar acceso remoto a los ordenadores objetivos vía el protocolo SMBv1. El exploit fue dado a conocer gracias a las filtraciones de los documentos de la NSA por parte de TheShadowBrokers. Al parecer esta agencia de inteligencia en Estados Unidos habría estado utilizando esta vulnerabilidad para perpetrar campañas de ciberespionaje.
Desde que EternalBlue fue dado a conocer, Microsoft tomó acciones para prevenir futuros ataques masivos como el ocurrido. Lanzó un parche bajo el nombre clave MS17-010, que corrige el problema de raíz. Al parecer muchas empresas optaron por ignorarlo y sobre todo, ignorar la relevancia de los documentos que TheShadowBrokers expuso sobre la NSA.
En cuanto a la instalación de Wanna Cry, no hay mucha ciencia aplicada. El Ransomware se descarga de forma remota, se auto-extrae y auto-ejecuta el instalador. Luego descarga el cliente TOR para poder realizar sus comunicaciones a través de esta red anónima. A partir de aquí, Wanna Cry analiza las bases principales de archivos del sistema y procede a encriptar los tipos de documentos y archivos principalmente utilizados en el sistema. Todo archivo encriptado es renombrado con la extensión .WNCRY.
Tan pronto como se terminan de encriptar los principales archivos, aparece la pantalla que ven a continuación (disponible en 26 idiomas incluidos el español y el inglés) en la que se muestra la información básica sobre el ataque y cómo el usuario puede recuperar sus archivos haciendo el pago correspondiente.
En caso de que el usuario realice el pago, enviando el monto especificado a la dirección Bitcoin, deberá hacer clic en ‘Check Payment’. Al hacerlo, Wanna Cry se conecta nuevamente a unos servidores mediante redes TOR y verifica el pago. En caso de estar correcto, el botón para desencriptar se activa y el usuario puede recuperar sus archivos.
¿Cómo se logró contener el ataque de WCry?
Resulta que los desarrolladores de este ransomware diseminado a gran escala tenía en su interior un killswitch o interruptor que automáticamente detendría el ataque. El killswitch fue encontrado en el código de Wanna Cry por un investigador en seguridad informática que opera el MalwareTechBlog. Según cuenta él mismo, descubrió que cada vez que Wanna Cry comenzaba su infección chequeaba antes un dominio en Internet:
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
Este dominio no se encontraba registrado, así que MalwareTechBlog gastó £10 para hacerlo suyo y, sorpresivamente el proceso de encriptación que ejecuta Wanna Cry dejó de ejecutarse. Así pues, aunque el ransomware siga diseminándose, este no encriptará los archivos de sus víctimas. Pero hay que aclarar que aquellas empresas ya infectadas y en cuyas cuales se encriptaron sus archivos, nada cambiará.
De hecho, investigadores en seguridad advierten que esto solo ha contenido la infección de la versión 2.0 de Wanna Cry. Nada evita que se esté escribiendo una nueva versión, con un killswitch distinto.
¿Debería pagar por Ransomware?
Esta pregunta la analizamos hace un tiempo con las conclusión de un estudio realizado por Kaspersky. En concreto, los datos del estudio de Kaspersky revelan que más del 36% de las empresas afectadas por Ransomware terminan pagando la demanda, pero solo hasta un 20% no reciben sus datos de vuelta.
Así pues, aparte de contribuir al crimen organizado pagando por el rescate, te estarías arriesgando a que estos criminales se queden con tu dinero y no recuperes tus archivos. Y cuando hablamos de varios cientos de dólares americanos, la verdad es que tomar ese riesgo no es una opción que parezca viable.
¿Qué hacer ante la infección y cómo prevenirla?
En principio, los ataques están dirigidos a organizaciones y grandes empresas, pero esto no significa que los individuales no debamos tomar precauciones extra. Un punto de partida para quienes estén afectados ante este ciberataque es contactar inmediatamente con las autoridades.
Aquí en TekCrispy hemos destacado el papel que juega NoMoreRansom como organización para dar asistencia en denuncias y en muchos casos, para suministrar las herramientas para desencriptar en casos de ransomware. De momento, no hay una herramienta diseñada para desencriptar Wanna Cry 2.0, pero conectarse con las autoridades es sin duda un paso necesario, como en cualquier crimen. La iniciativa NoMoreRansom esta soportada por Kaspersky, ESET, TrendMicro, Bitdefender, Intel, Amazon, Europol, y otra docena de organizaciones públicas y del sector privado.
Como parte de las medidas preventivas, lo que siempre se recomienda al usuario es mantener la sospecha sobre cada correo que llegue a nuestra bandeja de entrada y tener mucha pericia al abrir documentos adjuntos. Incluso si se trata de correos provenientes de personas conocidas, hay que dudar cuando se vea un archivo adjunto. Utilizar el sentido común y analizar el contexto, antes que dejárselo todo al software antivirus, que hoy por hoy es una herramienta que fácilmente puede ser burlada.
Otra medida para combatir con facilidad los ataques de ransomware es mantener actualizados nuestros sistemas, sin importar si sean Windows o macOS. Parece inaudito que este ataque a gran escala de Wanna Cry se haya realizado aprovechando un exploit del que Microsoft ya lanzó un parche hace unos meses. Aunque hay que resaltar, que Windows XP y Windows 8 no estaban inicialmente incluidos en este parche; recordemos que muchos sistemas operativos de Microsoft Windows ya han sido descontinuados. Aún así, aquí están los parches para todas las versiones vulnerables y descontinuadas:
Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64
Y aunque parezca repetitivo, los usuarios deben abstenerse de instalar aplicaciones crackeadas o usar los keygenerators o patchers. La piratería sigue siendo una de las principales vías de diseminación de ransomware y otros tipos de malware.
Por último, nunca esta de más recordar que el usuario debe tener un antivirus siempre activo en su ordenador (si, aunque pueda ser burlado), acompañado de un software anti-malware como Malwarebytes. Algunos han desarrollado herramientas específicas para detectar ransomware, que pueden representar una línea extra de defensa en ordenadores susceptibles a este tipo de ataque, como aquellos usados en grandes corporaciones.
Más sobre esta historia:
- WannaCry sigue atacando a un número particular de víctimas
- Ataques de ransomware afectan al Sistema de Salud Británico
- Telefónica en España sufre un ataque de ransomware en su intranet
Tssss hay que actualizar mas seguido!
Definitivamente, ya no es algo opcional, mandatorio o arriesgarse.