GM Security Technologies, empresa líder en procesos tecnológicos de computación en la nube, ‘Big Data’ y seguridad integral, se pronuncia ante al ciberataque masivo más importante de este año, hasta el momento, el WannaCry; y alerta a los usuarios a realizar análisis trimestrales de vulnerabilidad. “Este ransomware atacó a cientos miles de computadoras en todo el mundo, valiéndose de un exploit que aprovechó una vulnerabilidad en Windows; una de las principales fallas que contribuyó a su masificación, fue que gran parte de las empresas no habían instalado el parche, aún estando disponible desde marzo”, destacó Walter Cervoni, Chief Technology Officer de GM Security Technologies.
El ataque inicial llegó principalmente por phishing, pero lo que hizo que este fuera más extensivo, fue que aparte del componente que cifraba los datos, hizo que el malware tuviera capacidades de expandirse por las redes del cliente. EternalBlue es el nombre del exploit, desarrollado por la Agencia de Seguridad Nacional Estadounidense, NSA, por sus siglas en inglés, y filtrada por el grupo The Shadow Brokers; este exploit permitió atacar computadores con el sistema operativo Microsoft Windows, que estuvieran en la misma red de la computadora infectada originalmente. “Esta vulnerabilidad fue detectada en marzo en los sistemas operativos Windows; y si bien la compañía Microsoft comenzó a distribuir parches de seguridad desde ese momento, a través de Windows Update para las versiones de Windows posteriores a Windows Vista y como un parche por separado para Windows 8, Server 2003 y XP, gran parte de los computadores que no habían aplicado estas actualizaciones de seguridad, fueron afectados, recibiendo un mensaje en pantalla que exigía un rescate de 300 dólares en bitcoins a cambio de decodificar los archivos”.
El año pasado, el grupo Shadow Brokers extrajo este exploit – supuestamente de los archivos del NSA, en donde estaba – para ser utilizado a futuro y trató de subastarlo pero, ante la poca expectativa de ganancia, lo divulgaron al mercado sin costo. La vulnerabilidad explotada por EternalBlue ya tenía una corrección disponible en Windows Update; y el exploit estaba público; así fue como EternalBlue se convirtió en un componente importante del incidente de infección masiva. “La mesa estaba servida: la combinación del ransomware, WannaCryptor, y el exploit EternalBlue”.
En muy poco tiempo, como un evento fortuito, se dio a conocer que existía una función del malware que actuaba como “kill switch”, que podía poner fin a la propagación del ransomware. Esto fue posible, ya que este hacía una petición HTTP que debía fallar antes de comenzar su rutina de cifrado (para el malware protegerse de ser explotado en un “sandbox”), y como el dominio no estaba registrado, y todas las peticiones fallaban; permitían al ransomware continuar con su cometido. Y por esto fue como, mediante el análisis del código, una empresa de Inglaterra obtuvo el dominio, se compró -por 10,69 dólares. Este evento logró redirigir las solicitudes a servidores que enviaban una respuesta, para finalmente detener la propagación. Sin embargo, continúan las variantes y, de hecho, continuarán, comenta Cervoni.
ES IMPRESCINDIBLE MANTENER LOS EQUIPOS ACTUALIZADOS
Hasta el momento las ganancias de este ataque superan los cien mil dólares, lo cual representa apenas un 3% de lo que recaudó CryptoWall, un ransomware que entre el 2014 y el 2016 alcanzó 325 millones de dólares, al restringir el acceso a los archivos de millones de personas para luego cobrar un rescate por ellos. Esto hace evidente que la explotación de vulnerabilidades, puede tener un impacto enorme en la operativa de una compañía y explica por qué la industria del cibercrimen alcanza el billón de dólares. “De no haber sido por el error de desarrollo de los creadores del malware, el daño hubiera sido muchísimo peor”.
“En Inglaterra, WannaCry fue capaz de hacer tambalear a todo el sistema de salud del país por al menos un día; en Rusia, tomó el control de 1,000 equipos del Ministerio del Interior; en Francia, el fabricante de automóviles Renault tuvo que detener su producción; en España, la compañía de comunicaciones Telefónica vio comprometida una red interna que de acuerdo con la propia empresa no afectó a sus usuarios; y en China, la empresa PetroChina se vio obligada a apagar durante 12 horas los sistemas que conectan a sus gasolineras para poder regresar a la normalidad”.
Por esto, GM Security Technologies enfatiza la necesidad de educar a los usuarios sobre la importancia de qué tipo de archivos se puede abrir y de proveer los recursos a los departamentos de sistemas de información para mantener los parches al día; hacer análisis de vulnerabilidad trimestrales, y otras recomendaciones técnicas relacionadas. Asimismo, destaca la segmentación de la red, tanto norte/sur, es decir, lo que viene de internet, como este/oeste, lo que limitaría que un malware se pueda regar dentro de la red. En cuanto a los equipos, y a propósito de la tendencia BYOD, el experto enfatiza la importancia de que los equipos estén protegidos y que no todos tengan acceso hasta cierto nivel organizacional. El proteger las credenciales con poder administrativo es también una tarea de gran importancia.
WannaCry probablemente tenga otro impacto negativo para la industria del Ransomware, porque debido a otro error de codificación, no identificaba quién pagaba y quién no, por lo cual, los que pagaron probablemente no van a recibir la llave para descifrar sus archivos. Esto afectara la reputación de la industria de Ransomware, y en el futuro algunos dudarán antes de pagar si no se recibe la llave por anticipado. No hay que olvidar que ya existen y continuarán las versiones, las cuales resolverán los problemas que tuvo esta versión y serán más dañinas y peligrosas. Asimismo, es importante destacar que las personas que se robaron las vulnerabilidades del NSA declararon tener otras. De modo que esto no termina aquí y hay que estar trabajando en defensas “next generation”, las cuales tienen muchas más capacidades que un antivirus tradicional, “suponer que, contando con un antivirus tradicional, se está protegido, es tener un falso sentido de la seguridad”, concluye Cervoni para finalizar.