/ Publicado en CiberSeguridad, La Ciberguerra, Ransomware

Información sobre el ataque WannaCry

El pasado viernes el mundo empresarial se estremecía a medida que los medios de comunicación iban haciéndose eco de un ataque de malware a gran escala y de cobertura internacional

En este artículo te exponemos los datos más relevantes.

¿Qué ha ocurrido?

El pasado viernes 12 de mayo se detectó un ataque masivo de ransomware que afecta a sistemas Windows, bloqueando el acceso a los archivos (tanto en sus discos duros como en las unidades de red a las que estén conectadas).

La compañía de seguridad Avast ha detectado hasta ahora más de 57.000 infecciones, realizadas de forma indiscriminada y afectando a más de una docena de países.

Entre las víctimas se encuentran multitud de empresas y organizaciones, entre las que destacan el Servicio Nacional de Salud británico (NHS), fábricas de Nissan y Renault, la empresa de logística FedEx y algunas grandes corporaciones españolas como Iberdrola, Gas Natural o Telefónica.

¿Cómo ha ocurrido?

Este ransomware, conocido como WannaCry o WanaCrypt0r 2.0, se distribuía enlazado en un correo electrónico que no era detectado por muchos motores de antimalware.

Su objetivo es cifrar los archivos del equipo infectado para pedir un rescate económico (en este caso, 300 USD vía BitCoins).

Una vez infectada una máquina, el ransomware trata de expandirse por la red local aprovechando una vulnerabilidad de Windows detectada recientemente (más información sobre la vulnerabilidad en este enlace). Dicha vulnerabilidad fue conocida el pasado mes de marzo, y proviene de una divulgación no autorizada de contenidos de la Agencia de Seguridad Nacional de Estados Unidos (NSA). Una explicación más técnica del funcionamiento interno del ransomware puede encontrarse en este informe de Microsoft.

Afortunadamente, parte de la expansión fue reducida por un experto en ciberseguridad casi accidentalmente, aprovechando una vulnerabilidad en el diseño del malware que incluía dar de alta un dominio en Internet como medida de bloqueo.

¿Pueden aparecer nuevos ataques?

Es posible que en las próximas jornadas aparezcan nuevas variantes del ransonware, que varíen su manera de operar, aunque utilicen cómo base la misma falla de seguridad de Microsoft Windows. Sin ir más lejos, se han detectado ya al menos 2 variantes llamadas WannaCrypt.A y WannaCrypt.B. Además de la primera variante cuya expansión ha sido reducida gracias al mecanismo comentado, existe una 2ª variante más agresiva que comienza automáticamente con el cifrado automático de los ficheros que encuentra a su paso y que concretamente es la causante del ataque más mediático en España, Telefónica.

Además, varios expertos afirman que lo peor podría llegar el Lunes 15 de Mayo, con el arranque de la jornada laboral y el encendido de millones de ordenadores en las oficinas.

¿Por qué ha tenido tanta repercusión?

Fundamentalmente por la viralidad del ataque (que ha conseguido una expansión sin precedentes), por el impacto en grandes corporaciones y por la repercusión mediática (algo desmedida en opinión del experto en tecnología Enrique Dans).

¿A quién puede afectar?

Es importante tener en cuenta que ninguna empresa puede garantizar estar segura completamente.

Como dijo el experto Gene Spafford, “el único sistema verdaderamente seguro es uno que esté apagado, metido en un bloque de hormigón y sellado en una habitación aislada con plomo y con guardias de seguridad – y aún así, tengo mis dudas”.

Y como menciona recientemente en su blog Chema Alonso, experto a nivel nacional en ciberseguridad, “alcanzar el 100% de seguridad es un hito sólo al alcance la imaginación de los que no saben de seguridad“.

Se trata, por lo tanto, de alcanzar un equilibrio adecuado entre medidas de prevención, de detección y de respuesta para poder hacer frente a una contingencia de este tipo.

¿Cómo puede una empresa estar protegida?

  • Prevenir a los usuarios no abrir archivos adjuntos ni hacer clic en enlaces de correos sospechosos, ya sea por el remitente, el asunto del mensaje, el texto o el nombre del propio archivo. En caso de dudas, contactar con su departamento de IT.
  • Prevenir a los usuarios tener especial cuidado con archivos adjuntos de Microsoft Office que requieran habilitar macros para acceder a su contenido. A no ser que se esté absolutamente seguro de que el origen es confiable, no habilitar macros y borrar inmediatamente el email.
  • Asegurarse de tener aplicadas actualizaciones en sistemas operativos y herramientas críticas. Para este incidente, Microsoft ha habilitado medidas especiales liberando parches de seguridad de emergencia incluso para versiones de Windows ya no soportadas.
  • Utilizar en todos los puestos de trabajo soluciones de seguridad como cortafuegos y programas anti-malware, debidamente actualizados.
  • Disponer de soluciones IPS para proteger la red local de vulnerabilidades como la de este incidente. En este caso concreto, el CCN-CERT recomienda aislar la comunicación a los puertos 137 y 138 UDP y puertos 139 y 445 TCP en las redes de las organizaciones
  • En la actualidad, las copias de seguridad son la mejor solución para actuar frente a una infección de ransomware. Disponer de copias de seguridad debidamente actualizadas para poder restaurar los archivos en caso de infección es una medida crítica.
  • Idealmente, es aconsejable también disponer de soluciones de Disaster Recovery, para minimizar los tiempos de recuperación y asegurar la continuidad del negocio.

Desde ValoraData nos ponemos a disposición de nuestros clientes para reforzar sus sistemas de seguridad. Si tiene alguna duda o requiere más aclaración, contáctenos por el canal habitual.

Fuentes:
Últimas entradas de ValoraData Team (ver todo)

Seguir leyendo

La preocupación por el crimen en internet
Mi experiencia con el Criptolocker
¿Con qué leyes sobre ciberseguridad contamos?