WannaCry. El gran ataque global

Como todos sabréis, durante los últimos días se ha producido una oleada de ciberataques a nivel mundial que ha tenido mucha repercusión en los medios de comunicación, principalmente por el número de máquinas comprometidas y de empresas -grandes empresas- afectadas.

En sí el número de máquinas comprometidas, aun siendo elevado, no es algo escandaloso, ya que se han observado botnets en el pasado con una mayor afectación (una botnet es una red de máquinas infectadas y controladas por un administrador).

Tampoco lo es que el malware final ejecutado en las máquinas infectadas haya sido un ransomware (software malicioso que secuestra los ficheros de la máquina infectada y pide un rescate por ellos). Al fin y al cabo, en el trabajo diario de los investigadores y analistas de malware vemos multitud de muestras de ransomware de diferentes familias, cifrando cada una a su manera y pidiendo el rescate a su manera (aunque la mayoría de las veces mediante bitcoins, luego explicaremos el motivo).

La parte más importante de todo este ataque está en la capacidad de propagación del mismo para infectar otras máquinas y en el vector de ataque. Respecto a la propagación, se ha debido a la explotación de una vulnerabilidad en el protocolo SMB, utilizado para la compartición de ficheros. Para haceros una idea, alguien que detecta un fallo en el protocolo puede utilizarlo para ejecutar código malicioso remotamente. ¿Qué ocurre? Que una máquina infectada intentará ejecutar dicho código en otras máquinas (de la misma red y fuera de la rd) que tengan ese protocolo vulnerable. Imaginad la propagación que tiene…

En el caso que nos ocupa, esa vulnerabilidad es explotada por un código malicioso denominado EternalBlue. Lo curioso de este código es que, todo indica, que fue desarrollado por un grupo (Equation Group) supuestamente vinculado a la NSA (Agencia de seguridad nacional de Estados Unidos).

Los detalles, sin confirmarlos podrían ser así:

• The Equation Group desarrolla un exploit para la vulnerabilidad del protocolo de compartición de ficheros, en nombre o a petición de la NSA. • 08/2016: The ShadowBrokers publica en internet que dispone de la información relativa a ciberherramientas procedentes de The Equation Group

• 03/2017: Microsoft publica un parche que protege a los ordenadores vulnerables de dicho problema.

• 04/2017: The Shadow Brokers publica dichas herramientas.

A partir de aquí, un usuario o grupo experimentado puede trabajar sobre dicho código para realizar su propio malware. Para éste incidente, denominado WannaCry, digamos que introdujeron en el malware otro código malicioso. El primero tenía la capacidad de propagarse por la red y el segundo era un ransomware que se ejecutaba, mostrando a los usuarios el famoso pantallazo pidiendo rescate en Bitcoins. ¿Por qué bitcoins? Porque mediante esta moneda virtual un usuario experimentado puede pasar inadvertido, siendo muy complicado su rastreo.

¿Cómo ha sido el vector de ataque? Es decir, ¿cómo se ha infectado la primera máquina? Eso es como el Santo Grial (que me perdonen los expertos por usar esta expresión), nadie tiene claro el origen. Desde el viernes pasado todo la comunidad ha estado hablando de una oleada de spam. A día de hoy, y tras 5 días, nadie ha encontrado dicho correo, con lo que en algunos foros se está empezando a descartar esa posibilidad, dando más pie a otras opciones, entre las que se encuentran que el propio grupo que desarrolló el malware (que lleva “en producción” algunos meses sin la parte de propagación) ha sido el primer infectado.

La característica especial de EternalBlue es que no solamente escanea los ordenadores vulnerables dentro de su red, sino que también escanea servidores por todo el mundo que sean vulnerables.

Otra posibilidad es que dicho grupo haya enviado correos de spam con el software malicioso, pero no con la magnitud que se suponía, y a nada que haya unas pocas máquinas infectadas la propagación pasa a ser muy alta.

¿Quién está detrás? No está claro todavía. Ni está claro si llegaremos a saberlo. Se habla de cortina de humo, que si Corea del Norte. Se habla de China, se habla de que se han encontrado partes del código malicioso con idioma letón, se comenta que haya sido un grupo privado.

Se está hablando mucho sobre lo que puede deparar el futuro. Éste mismo martes, el grupo The Shadow Brokers ha publicado una nota en la que cambian “su modelo de negocio”. Si hasta ahora la información robada la vendían al mejor postor (algo que parece que no ocurrió en el pasado y por eso publicaron la información) ahora van a cambiar dicho modelo a una suscripción mensual, con lo que obtendrán un beneficio económico de la información que están capturando, no solamente procedente de la NSA, sino también de otros temas de interés como puede ser de los programas armamentísticos y nucleares de Irán, Corea del Norte, Rusia o China, de redes comprometidas de SWIFT, nuevos exploits, etc.

Estamos llegando a un nivel de alerta bastante alto, y hay que estar protegidos y prevenidos. En concreto, las recomendaciones que cualquier empresa de seguridad hace a sus clientes son las básicas: mantener el sistema actualizado, no abrir correos sospechosos (y mucho menos los adjuntos que llevan como pdf, docs, etc), no navegar por páginas sospechosas. En concreto para esta vulnerabilidad, que afecta a muchos de los sistemas operativos de Windows, Microsoft ha sacado varios boletines:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Recent Posts

Leave a Comment