Ransomware Wannacry

Ransomware WannaCry: un interruptor, 10 Euros y Chema Alonso

Este viernes tuvimos el Black Friday de las comunicaciones y seguridad en muchas empresas españolas -y mundiales- y no fue precisamente algo positivo. Horas extras para pagar a los equipos de contención y gente presa del pánico preguntando si puede seguir usando su móvil, tableta o correo.

Consulta aquí el análisis técnico sobre la WannaCry 2.0 / Wannacrypt 2.0

Quizá este tipo de situaciones, que se vuelven tan mediáticas porque tocan a nuestro entorno masivamente, ayuden a ya no a concienciar (una palabra que ha quedado un tanto devaluada con el tiempo) sino a implicar al usuario medio en lo que es el “mundillo” de la seguridad. ¡Que es por vuestro bien hombre! El ransomware lleva atacando de forma masiva desde hace ya casi 5 años…

WannaCry, Telefónica y 98 países más

Mucho se ha estado hablando de la firma Telefónica -en la cual está implicado el conocido hacker español Chema Alonso, desde hace unos meses- y de como varios centenares de equipos informáticos fueron inutilizados en su sede durante la primera oleada de ataques.

A continuación se puede ver el estado actual de la botnet que sirve dicha amenaza, y que podéis ver aquí.

wcrypt botnet

Pero como veremos a continuación, han sido muchos más países y empresas los afectados. No ha sido un ciberataque dirigido a España ni mucho menos. Lo que está claro es que ha sido un caso de dimensiones planetarias:

  • Más de 75000 ataques registrados hasta el momento
  • 99 países atacados, con predilección por Rusia, Ucrania y Taiwan.
  • Entre 300 y 600 € por equipo afectado, son solicitados por el ransomware para recuperar archivos.

El comienzo

Los primeros casos se observaron en algunos bancos españoles y en algunos hospitales de Reino Unido. También Telefónica, junto con Vodafone o la empresa FedEx fueron afectadas en los primeros compases. Incluso ciertas universidades o sistemas de control de trenes han sido afectados

Como han detallado organismos españoles como el CertSI, el ataque se convirtió en masivo a las pocas horas de entrar en la sede de Telefónica. En la multinacional española, la consecuencia inmediata fue la infección de unos 500 equipos, tras lo que la compañía emitió un comunicado para que las áreas afectadas desconectasen todos los equipos y se fueran a trabajar a sus casas.

Sistemas afectados

  • Windows XP
  • Windows Vista
  • Windows Server 2003
  • Windows Server 2008 SP2 and R2 SP1
  • Windows 7
  • Windows 8
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 and R2
  • Windows 10
  • Windows Server 2016

Consecuencias

Como cualquier ransomware tradicional, tras instalarse en el equipo este cifra todos los archivos que considera de valor (escogiendo entre las extensiones que tiene programadas) y cuando este proceso acaba, pide un rescate al usuario.

Si encuentra más equipos en la red o recursos compartidos, los usará para expandirse hacia ellos sin pestañear. WannaCry tiene la peculiaridad de ir acompañado de un gusano que lo transporta: una vez aterriza en el sistema ya no es necesaria ninguna acción del usuario, pues él solo encontrará los caminos para seguir infectando.

¿Por qué / cómo se ha producido esta infección masiva de ransomware?

El método de entrada hacia el “paciente cero” ha llegado a través de un engaño de ingeniería social, como podría ser un correo fraudulento (phishing) o una descarga imprudente, aprovechando alguna vulnerabilidad no parcheada en el equipo que lo permitiese.

Descarga aquí el parche de Microsoft para tapar la vulnerabilidad en SMB

WannaCry se apoya en una vulnerabilidad encontrada hace meses en el protocolo SMB v.1.0, de la que os hablé en Febrero y para la que Microsoft sacó parches en Marzo. Server Message Block es un protocolo comúnmente utilizado en empresas y hogares para que los equipos Windows (y otros también) sean capaz de verse y compartir recursos.

El ataque de este malware utiliza los exploits de la NSA EternalBlue y DoublePulsar para infectar otros sistemas Windows conectados en la misma red.

Microsoft lanza parches para Windows XP y Windows Server 2003

Ante la gravedad de la situación, Microsoft ha decidido tragarse su orgullo y publicar sendos parches para los tatarabuelos de Windows 10: Windows XP y Windows Server 2003. No deberíamos estarlos usando, nadie…pero ocurre que a día de hoy siguen activos en muchos sitios, creedme.

En este enlace podéis obtener el citado parche para sistemas con soporte finalizado.

Chema Alonso presenta el anti-ransomware Latch ARW

Viene muy a la mano el tema de Chema Alonso y el ransomware, ¿verdad? 😛 El caso es que recientemente publicó la segunda versión de su herramienta antiransomware para las masas: Latch ARW. Podemos descargarla gratuitamente y proteger con ella entornos Windows y WordPress.

Se integra como un driver de Windows en modo kernel. El interfaz de usuario permite proteger y desproteger carpetas desde un cómodo menú contextual.

A grandes rasgos, Latch ARW funciona auditando carpetas consideradas “protegidas” en Windows. Lo que se audita son las operaciones de I/O sobre el disco, o en cristiano la modificación o borrado de los mismos. Si hemos protegido una carpeta y suena una alarma, Latch nos preguntará que hacer. A continuación un tutorial:

El interruptor que costó 10 euros

Resulta que un buen samaritano, de hecho el dueño del blog de ciberseguridad MalwareTechBlog, compró un dominio que aparecía en su código durante su análisis. Aun sin saber las consecuencias de hacerlo, al poner dicho dominio en funcionamiento se ha conseguido que el ransomware ya no consiga infectar más equipos, al menos en su versión actual.

La explicación es sencilla: los creadores de la amenaza intentaron evitar los mecanismos de sandbox y análisis haciendo que este contactase dicho durante su fase de entrada. Si la llamada al mismo era satisfactoria, el ransomware quedaría dormido y no haría nada para evitar ser descubierto.

wannacry

Las autoridades americanas del FBI fueron alertadas y redirigieron las solicitudes del dominio original (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) a un servidor en California, dejando el malware fuera de combate.

Mitigación y recuperación

Si has sido afectado por la amenaza, lamento decirte que, de momento, no existe una solución a la vista. Al menos en forma de herramienta para recuperar archivos cifrados por el ransomware. No obstante, el Instituto Nacional de Ciberseguridad español tiene un servicio anti-ransomware que podría servirte de ayuda en un momento dado.

Si has sido afectado, deberías hacer lo siguiente:

  1. Aislar la red donde estén los equipos infectados del resto de equipos/sedes/recursos compartidos.
  2. Aislar los equipos infectados.
  3. Desactivar el servicio SMBv1.
  4. Bloquear la comunicación con los puertos 137 UDP y 138 UDP, además de los 139 TCP y 445 TCP.
  5. Bloquear el acceso a la red Tor.

Y, por supuesto, actualiza con el parche anteriormente comentado todos tus equipos servidores y clientes ya mismo!

Palabras finales

No me gustaría sino romper una lanza a favor de Telefónica y de Chema Alonso, pues aunque han sufrido un incidente de seguridad (eso queda en el “debe” de la empresa, como de tantas otras) lo cierto es que desde el minuto 1 fueron francos y admitieron el incidente, con total transparencia. Ojalá todos hubiesen hecho lo mismo…

8 comentarios en “Ransomware WannaCry: un interruptor, 10 Euros y Chema Alonso

  1. Muy buena entrada. La estoy compartiendo con mi gente porque se están diciendo muchas barbaridades y tú lo explicas estupendamente.
    Yo tengo windows 10 y las actualizaciones se me hacen automáticamente. Desde el “viernes negro” noto muy lentos algunos programas y aplicaciones en mi portátil pero no sé si tengo que recurrir a antiransomwares o qué.
    He pensado que me voy a estar quietecita, porque vaya yo a meter la pata y no la pueda sacar.
    Gracias por instruirnos.

    Me gusta

  2. Estimada María, con el permiso de Don Alejandro le recomendaría hacer un backup urgente, correr un diagnóstico S. M. A. R. T. a su disco duro y de vez en cuando patrullar sus conexiones con netstat -b en busca de troyanos. Si encuentra un programa raro con alto consumo puede subir una copia a Virus Total a ver que le dicen o mejor… llamar a Don Alejandro para que le ayude.

    Le gusta a 1 persona

    1. Hola Miguel, estoy muy de acuerdo contigo en cuanto a los backups: es necesario hacerlos antes de que ocurra algún desastre y, algo que se olvida a menudo, probar que funciona su restauración (aunque esto no siempre es fácil, así que al menos tenerlos). Respecto a revisar las conexiones, aunque es acertado el consejo mucho me temo que el usuario medio no entiende muy bien la salida que ofrece netstat, así que quizá recomendaría a María que descargue algún programa capaz de realizar supervisión de red de forma eficaz. Hace poco hablé de Glasswire, que en su versión Pro (yo mismo lo tengo) ofrece una completa auditoría de conexiones entrantes/salientes a la red local, Wireless y al equipo, ofreciendo consumos, ejecutables relacionados y permitiendo restricción libre de las mismas, así como la marca de dispositivos que efectúan su primera conexión saliente o entrante. https://protegermipc.net/2017/05/08/glasswire-firewall/
      También hay otras aplicaciones que conozco y podría recomendar para auditar rápidamente una red local, como podría ser Acrylic Wifi, Softperfect Wireless Analyzer, la herramienta similar de Nirsoft…
      Lo que está claro es que al ransomware se le derrota basándonos en 3 conceptos: reconociendo el phishing, aplicando la cautela y manteniento un sistema de copia de seguridad NO conectada al equipo/internet. Si a todo esto le añadimos el uso de honeypot que atraiga la infección a áreas supervisadas primero -como le decía a María- mejor que mejor.
      Saludos y muchas gracias por tus consejos!

      Le gusta a 1 persona

  3. Gracias Miguel.
    Lo de los backups lo tengo controlado. Lo otro, lo de netstat -b, de momento aparcado está.
    Ayer estuve haciendo una “limpieza general” amateur y creo que la gusanera no se me coló.
    Como sé muy poco de todo esto os agradezco mucho a Alejandro y a ti todas las informaciones que me dais.
    Saludos cordiales.

    Le gusta a 1 persona

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s