loader gif

WannaCry

El ataque ransomware masivo realizado el día 12 de mayo de 2017, es el claro ejemplo de las consecuencias que se pueden sufrir al no seguir las mejores prácticas de arquitectura y diseño de infraestructura, que rápidamente, pueden llevar a la temida no disponibilidad de la información. Para poder defenderse de un ataque de ésta naturaleza, como siempre, es necesario conocer como funciona el ataque para establecer nuestra estrategia de seguridad y mitigación de ataques.

¿Cómo funciona?

WannaCry, es un ataque de tipo ransomware (del inglés «ransom» que quiere decir «rescate» y «ware» que hace referencia a «software») que utiliza el exploit (serie de comandos y acciones que se aprovechan de una vulnerabilidad para realizar una acción no deseada) de Windows conocido como «EternalBlue». Cabe mencionar que la herramienta que se utilizó para el ataque se filtró de la Agencia Nacional de Seguridad de los Estados Unidos. Su herramienta utiliza una vulnerabilidad del protocolo SMB de Windows que permite que en un servidor con el protocolo SMB v1 acepte paquetes creados de forma particular, que permiten al atacante enviar comandos arbitrarios al host de Windows en donde se realiza la conexión. También es importante mencionar que solamente se vieron afectados los host de Windows que no recibieron la actualización del parche de seguridad que resolvía ésta situación y que fue liberada un mes antes del ataque. Al mismo tiempo los sistemas operativos que ya no soporta Microsoft son vulnerables al ataque ya que no existían parches de seguridad para esas versiones que incluye Windows XP, Windows 8, y Windows Server 2003. Los parches fueron creados unos días después del ataque al ver que el uso de éstos sistemas operativos provocaron la propagación masiva del gusano.

Fase 1.

Usando el exploit, el gusano encripta la información del disco duro usando el sistema criptográfico RSA-2048. Correos electrónicos, documentos de office, bases de datos y código fuente son algunos ejemplos del tipo de información que se encripta. Una vez encriptada la información se exige el pago de 300 Bitcoins como rescate para desencriptar los datos.

Fase 2.

WannaCry se distribuye a través de cualquier sesión abierta que encuentra utilizando el protocolo RDP (Remote Desktop Protocol). Una vez que el ransomware encuentra camino a otro sistema el gusano se instala en el host y utiliza una URL como método de conexión y control remoto de donde toma las instrucciones hacia el sistema para encriptar los datos. El siguiente paso para el gusano es instalar un servicio llamado «mssecsvc2.0» con el nombre “Microsoft Security Center (2.0) service”. Con éste servicio el gusano instala el módulo criptográfico que utilizará para encriptar los datos.

Fase 3.

Para propagarse de forma eficiente, el gusano intenta enviar correos electrónicos falsos para propagarse lateralmente. Adicionalmente es capaz de escanear todos los sistemas conectados a la red. La infección no solamente se da por conexión directa con otro sistema, el gusano es capaz de obtener direcciones IP vía tráfico multicast, unicast y de DNS. Con la lista de todas las direcciones IP obtenidas intenta enviarse por el puerto 445 usando una dirección aleatoria de IP falsa. Si un sistema vulnerable, responde a la solicitud de enlace, el gusano infecta el sistema y repite todo el proceso.

 

¿Cómo protegerse de WannaCry?

Una de las recomendaciones más obvias es actualizar el sistema operativo con los parches de seguridad más recientes. Como ya lo he mencionado, el parche de seguridad que evita la infección de éste gusano en Windows, existe desde un mes antes del ataque.

La siguiente recomendación tampoco es nueva. Es importante evitar abrir correos electrónicos desconocidos, sitios web que no conocemos y sobre todo, evitar conectarse en redes públicas o de trabajo con equipos personales.

Una forma eficiente de evitar perder nuestra información es utilizando servicios de almacenamiento de datos en la nube, o hacer copias de seguridad de la información.

En el sitio de Symantec y Avast hay herramientas gratuitas para eliminar WannaCry y otros ransomware populares. Desafortunadamente el proceso es complicado y debe efectuarse por personal capacitado. La solución más efectiva siempre es formatear el disco duro y volver a instalar el ambiente operativo.

Si usted es administrador de infraestructura en una empresa lo mejor es aislar el problema y utilizar una técnica de microsegmentación para contener los contagios. Ésto se puede lograr utilizando un Firewall distribuido en un ambiente de virtualización para encapsular cada uno de los hosts o máquinas virtuales de la empresa. Después monitorear el ambiente buscando la activación del servicio mssecsvc2.0 y así poder evitar la propagación rápida del gusano. Monitorear el tráfico del puerto 445 es buena idea para detectar el ataque antes de que se pueda propagar. La técnica que se recomienda usar en centros de datos virtualizados se llama «Zero Trust» y en ella se define la estrategia para proteger los accesos a nivel de toda la infraestructura. Se debe justificar cada acceso y punto de enlace en el centro de datos haciendo las siguientes preguntas: 

  • ¿Quién navega por mi red?
  • ¿Por qué tiene acceso?
  • ¿Cómo accede?
  • ¿Cuándo?
  • ¿De qué forma?
  • ¿A qué información accede?

Espero que ésta información sea de utilidad y recuerden que siguiendo las recomendaciones de mejores prácticas podemos minimizar el efecto de un ataque de cualquier magnitud. Por eso es importante ser constantes y muy estrictos con las políticas de seguridad en todos los ambientes. Los usuarios caseros, solamente deben seguir las recomendaciones de siempre: tener siempre actualizado el software y evitar la información, correos y sitios web de dudosa procedencia.

Deja una respuesta