Ransomware WannaCry: un interruptor, 10 Euros y Chema Alonso

Este viernes tuvimos el Black Friday de las comunicaciones y seguridad en muchas empresas españolas -y mundiales- y no fue precisamente algo positivo. Horas extras para pagar a los equipos de contención y gente presa del pánico preguntando si puede seguir usando su móvil, tableta o correo.

Consulta aquí el análisis técnico sobre la WannaCry 2.0 / Wannacrypt 2.0

Quizá este tipo de situaciones, que se vuelven tan mediáticas porque tocan a nuestro entorno masivamente, ayuden a ya no a concienciar (una palabra que ha quedado un tanto devaluada con el tiempo) sino a implicar al usuario medio en lo que es el «mundillo» de la seguridad. ¡Que es por vuestro bien hombre! El ransomware lleva atacando de forma masiva desde hace ya casi 5 años…

WannaCry, Telefónica y 98 países más

Mucho se ha estado hablando de la firma Telefónica -en la cual está implicado el conocido hacker español Chema Alonso, desde hace unos meses- y de como varios centenares de equipos informáticos fueron inutilizados en su sede durante la primera oleada de ataques.

A continuación se puede ver el estado actual de la botnet que sirve dicha amenaza, y que podéis ver aquí.

Pero como veremos a continuación, han sido muchos más países y empresas los afectados. No ha sido un ciberataque dirigido a España ni mucho menos. Lo que está claro es que ha sido un caso de dimensiones planetarias:

• Más de 75000 ataques registrados hasta el momento
• 99 países atacados, con predilección por Rusia, Ucrania y Taiwan.
• Entre 300 y 600 € por equipo afectado, son solicitados por el ransomware para recuperar archivos.

El comienzo

Los primeros casos se observaron en algunos bancos españoles y en algunos hospitales de Reino Unido. También Telefónica, junto con Vodafone o la empresa FedEx fueron afectadas en los primeros compases. Incluso ciertas universidades o sistemas de control de trenes han sido afectados

Como han detallado organismos españoles como el CertSI, el ataque se convirtió en masivo a las pocas horas de entrar en la sede de Telefónica. En la multinacional española, la consecuencia inmediata fue la infección de unos 500 equipos, tras lo que la compañía emitió un comunicado para que las áreas afectadas desconectasen todos los equipos y se fueran a trabajar a sus casas.

Sistemas afectados

• Windows XP
• Windows Vista
• Windows Server 2003
• Windows Server 2008 SP2 and R2 SP1
• Windows 7
• Windows 8
• Windows 8.1
• Windows RT 8.1
• Windows Server 2012 and R2
• Windows 10
• Windows Server 2016

Consecuencias

Como cualquier ransomware tradicional, tras instalarse en el equipo este cifra todos los archivos que considera de valor (escogiendo entre las extensiones que tiene programadas) y cuando este proceso acaba, pide un rescate al usuario.

Si encuentra más equipos en la red o recursos compartidos, los usará para expandirse hacia ellos sin pestañear. WannaCry tiene la peculiaridad de ir acompañado de un gusano que lo transporta: una vez aterriza en el sistema ya no es necesaria ninguna acción del usuario, pues él solo encontrará los caminos para seguir infectando.

¿Por qué / cómo se ha producido esta infección masiva de ransomware?

El método de entrada hacia el «paciente cero» ha llegado a través de un engaño de ingeniería social, como podría ser un correo fraudulento (phishing) o una descarga imprudente, aprovechando alguna vulnerabilidad no parcheada en el equipo que lo permitiese.

Descarga aquí el parche de Microsoft para tapar la vulnerabilidad en SMB

WannaCry se apoya en una vulnerabilidad encontrada hace meses en el protocolo SMB v.1.0, de la que os hablé en Febrero y para la que Microsoft sacó parches en Marzo. Server Message Block es un protocolo comúnmente utilizado en empresas y hogares para que los equipos Windows (y otros también) sean capaz de verse y compartir recursos.

El ataque de este malware utiliza los exploits de la NSA EternalBlue y DoublePulsar para infectar otros sistemas Windows conectados en la misma red.

Microsoft lanza parches para Windows XP y Windows Server 2003

Ante la gravedad de la situación, Microsoft ha decidido tragarse su orgullo y publicar sendos parches para los tatarabuelos de Windows 10: Windows XP y Windows Server 2003. No deberíamos estarlos usando, nadie…pero ocurre que a día de hoy siguen activos en muchos sitios, creedme.

En este enlace podéis obtener el citado parche para sistemas con soporte finalizado.

Chema Alonso presenta el anti-ransomware Latch ARW

Viene muy a la mano el tema de Chema Alonso y el ransomware, ¿verdad? 😛 El caso es que recientemente publicó la segunda versión de su herramienta antiransomware para las masas: Latch ARW. Podemos descargarla gratuitamente y proteger con ella entornos Windows y WordPress.

Se integra como un driver de Windows en modo kernel. El interfaz de usuario permite proteger y desproteger carpetas desde un cómodo menú contextual.

A grandes rasgos, Latch ARW funciona auditando carpetas consideradas «protegidas» en Windows. Lo que se audita son las operaciones de I/O sobre el disco, o en cristiano la modificación o borrado de los mismos. Si hemos protegido una carpeta y suena una alarma, Latch nos preguntará que hacer. A continuación un tutorial:

El interruptor que costó 10 euros

Resulta que un buen samaritano, de hecho el dueño del blog de ciberseguridad MalwareTechBlog, compró un dominio que aparecía en su código durante su análisis. Aun sin saber las consecuencias de hacerlo, al poner dicho dominio en funcionamiento se ha conseguido que el ransomware ya no consiga infectar más equipos, al menos en su versión actual.

La explicación es sencilla: los creadores de la amenaza intentaron evitar los mecanismos de sandbox y análisis haciendo que este contactase dicho durante su fase de entrada. Si la llamada al mismo era satisfactoria, el ransomware quedaría dormido y no haría nada para evitar ser descubierto.

Las autoridades americanas del FBI fueron alertadas y redirigieron las solicitudes del dominio original (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) a un servidor en California, dejando el malware fuera de combate.

Mitigación y recuperación

Si has sido afectado por la amenaza, lamento decirte que, de momento, no existe una solución a la vista. Al menos en forma de herramienta para recuperar archivos cifrados por el ransomware. No obstante, el Instituto Nacional de Ciberseguridad español tiene un servicio anti-ransomware que podría servirte de ayuda en un momento dado.

Si has sido afectado, deberías hacer lo siguiente:

1. Aislar la red donde estén los equipos infectados del resto de equipos/sedes/recursos compartidos.
2. Aislar los equipos infectados.
3. Desactivar el servicio SMBv1.
4. Bloquear la comunicación con los puertos 137 UDP y 138 UDP, además de los 139 TCP y 445 TCP.
5. Bloquear el acceso a la red Tor.

Y, por supuesto, actualiza con el parche anteriormente comentado todos tus equipos servidores y clientes ya mismo!

Palabras finales

No me gustaría sino romper una lanza a favor de Telefónica y de Chema Alonso, pues aunque han sufrido un incidente de seguridad (eso queda en el «debe» de la empresa, como de tantas otras) lo cierto es que desde el minuto 1 fueron francos y admitieron el incidente, con total transparencia. Ojalá todos hubiesen hecho lo mismo…