El ransomware Wannacry, qué es
El ransomeware Wannacry es un malware que ha hecho historia, no sólo por su difusión en todo el mundo, sino también por su particular tipo de ataque. La experiencia de Wannacry ha sido muy útil para todos los productores de soluciones de ciberseguridad, ya que si se estudia detenidamente y en profundidad este ransomware se puede averiguar cómo se ha construido, la estrategia de distribución y el efecto que ha tenido, de forma que ayude a protegerse contra cualquier ataque similar en el futuro. Se podría decir que, después de Wannacry, la ciberprotección nunca ha vuelto a ser la misma, sin embargo no se puede decir lo mismo de la sensibilidad al tema por parte de usuarios particulares y empresas. Por esta razón, sigue siendo muy importante «crear una cultura» a partir de la experiencia dejada por el ransomware Wannacry.
1. El ransomware Wannacry, la historia
El ransomware Wannacry, conocido también como Wannacrypt0r 2.0 es un tipo de ransomware (cripto) gusano. Propagado en mayo de 2017, fue responsable de una epidemia mundial propagada en ordenadores con Microsoft Windows. Una vez en modo de ejecución, el virus encriptaba los archivos del ordenador y pedía un rescate de cientos de dólares para descifrarlos.
Entre el 12 y el 15 de mayo de 2017, este malware infectó los sistemas informáticos de numerosas empresas y organizaciones de todo el mundo. Entre ellas, Portugal Telecom, Deutsche Bahn, FedEx, Telefónica, Renault, el Servicio Nacional de Salud inglés, el Ministerio del Interior ruso y la Universidad Bicocca de Milán, por citar algunas de las empresas e instituciones más importantes. Además, Wannacry bloqueó las actividades de varios hospitales del Reino Unido en los que el sistema Microsoft Windows XP seguía muy presente.
A finales de mayo de 2017, el recuento de ordenadores infectados se calculaba en unos 230.000 en 150 países diferentes, lo que le valió el trofeo de uno de los cibervirus más importantes por los daños infligidos. Técnicamente, Wannacry explotaba una vulnerabilidad SMB (Server Message Block) a través de un exploit llamado EternalBlue. Esto significa que el virus aprovechaba una «imperfección» en el protocolo SMB que define el uso compartido de archivos, impresoras, puertos serie y comunicaciones por parte de Windows a través de las redes. Lo curioso es que Wannacry parece haber sido desarrollado por la NSA (Agencia de Seguridad Nacional) por los estadounidenses, para atacar cibersistemas basados en las operaciones de Microsoft Windows.
2. Cómo se propagó
En un principio se pensó que el ransomware Wannacry se propagaba a través de correos electrónicos falsos y, tras instalarse en el ordenador, comenzaba a infestar otros sistemas que estuvieran conectados a la misma red, sin ningún tipo de intervención por parte de otros usuarios y también sin darse cuenta de que estaba ocurriendo. En el caso del ataque a la Universidad Biccoca, parece que el gusano se propagó mediante el uso de una memoria USB. Esto nos hizo comprender que, en realidad, Wannacry no se propagó por la acción de un trabajador inconsciente.
El ataque se produjo de forma sucesiva: primero a través de un exploit llamado EternalBlue y después a través del ransomware que se encargaba de cifrar los archivos. EternalBlue activaba el cifrado de los archivos bloqueando su acceso, añadiendo la extensión .WCRY y detenía el reinicio del sistema. En ese momento, en los archivos denominados @Please_Read_Me@ se solicitaba un rescate, inicialmente de 300 dólares que luego se duplicó a 600, a pagar en bitcoin para poder desbloquear los archivos.
Microsoft, que participó activamente en la investigación, declaró que Wannacry se propagaba de dos maneras:
» A través de un correo electrónico de phishing (que contiene facturas falsas, notas de crédito, recibos, etc.) o a través de memorias USB (como en la Universidad de Bicocca).
» A través de ataques directos de EternalBlue con un protocolo SMB en máquinas no actualizadas.
EternalBlue explota una vulnerabilidad de Windows que ya fue corregida por Microsoft el 14 de marzo de 2017, con un parche llamado ‘Actualización de seguridad para Microsoft Windows SMB Server (40133898)’. Lamentablemente, muchos ordenadores, privados y de empresa, no fueron actualizados, anulando la distribución del parche de seguridad que habían realizado los productores de software de Microsoft.
Otro elemento que nos hizo comprender lo sofisticado que era Wannacry, su capacidad de eliminar las copias de seguridad (shadow copies) de Windows y reescribir algunos de los archivos presentes en las carpetas del sistema. Por último, el malware también consiguió instalarse y propagarse a través de una simple cuenta de usuario, sin privilegios de administración.
3. Quién desató el ransomware Wannacry
Antes de llegar a quién fue el responsable del ataque, señalaremos que el exploit EternalBlue fue de hecho robado antes por un grupo de hackers que se hacían llamar The Shadow Brokers y fue publicado online el 14 de abril de 2017.
Incluso con el número de dispositivos implicados fue la resonancia mediática que el ransomware Wannacry no fue un éxito tan grande en términos económicos. A través del análisis de las tres cuentas de bitcoin en las que se tuvo que pagar el rescate, se calculó que los cibercriminales acumularon solo unos 100 mil dólares frente a los 300 mil rescates pagados. Parecía más una maniobra de demostración que algo para obtener un gran beneficio económico.
Al principio se pensó que se trataba de un grupo de hackers, tal vez chinos o rusos, aunque uno de los sitios violados era de hecho ruso. Más recientemente, la atención se ha centrado más en un grupo llamado Lazarus, procedente de Corea del Norte. Dos importantes vendedores de seguridad declararon haber reconocido un código malicioso con similitudes a ataques anteriores. En particular, el del Banco Central de Bangladesh en 2016 (el mayor ciberataque de la historia, en el que se robaron 82 millones de dólares), así como el de Sony Pictures Entertainment, atacada por haber producido «La entrevista», que había sido escrita contra el líder de Corea del Norte, Kim Jong-un.
4. Cómo defenderse del ransomware
Las acciones recomendadas después de un ataque han sido:
» Instalar y ejecutar el software gratuito Wannacry para intentar desencriptar los archivos bloqueados.
» Actualizar a las últimas versiones cualquier software antivirus presente.
» Instalar la actualización bMS17-010 de Microsoft.
Por último, es muy recomendable desactivar el SMBv1, bloqueando el tráfico SMB que entra por el puerto 445. Después, aislar los sistemas vulnerables y no actualizados y definir un proceso de copias de seguridad puntuales.
Wannacry nos enfrentó a una constatación de hechos: demasiados sistemas no están actualizados o siguen utilizando sistemas operativos obsoletos o, incluso, que ya no disponen de ningún tipo de mantenimiento y, por tanto, de distribución del parche. Por lo tanto, en este caso, la responsabilidad de la propagación no se puede atribuir únicamente a algunos trabajadores «distraídos» que simplemente hicieron clic en un enlace infectado o instalaron un archivo .exe sin saber lo que estaban haciendo, sino que se puede culpar más a los responsables informáticos de la empresa que no se preocuparon demasiado por mantener todo actualizado.
5. Cómo protegerse de los ciberataques
Un filtro DNS para navegar es un servicio web que, por una pequeña cuota mensual, protege la navegación de todos los dispositivos conectados a la misma red, en casa o en la empresa. En pocas palabras, un filtro DNS para navegar controla los enlaces que se pulsan antes de que sean alcanzados por el usuario, si se insertan en la llamada lista negra la página no se cargará. Esta es la solución más adecuada para proteger el dispositivo de un ataque procedente de un enlace infectado o un archivo adjunto sospechoso.
Los filtros para la navegación a través del DNS se actualizan y mejoran constantemente. Por ejemplo, utilizando inteligencia artificial para detectar amenazas online, así como personalizando y estableciendo bloqueos automáticos.
Otras características de los mejores filtros DNS para navegar son las actualizaciones dinámicas de sus listas negras y la introducción de funciones como el Geobloqueo que permite bloquear las navegaciones hacia dominios y direcciones IP que provocan ataques de cibercriminales.
A la hora de elegir un filtro DNS para navegar, es importante considerar un proveedor que garantice funciones añadidas constantes y actualizaciones de la base de datos de sitios a evitar.
6. Cómo funcionan los filtros DNS
Pues bien, la mejor manera de protegerse es obtener un servicio de filtrado basado en DNS. Muchos filtros DNS son demasiado sofisticados, complejos en su instalación y costosos en su funcionamiento. Sin embargo los hay perfectos para uso familiar o de empresa, en Administraciones Públicas o Instituciones Escolares, el filtro DNS FlashStart es la elección correcta para aquellos que quieren un servicio monitorizado en su navegación que sea muy fácil de configurar, personalizar y que esté siempre actualizado.
El filtro DNS FlashStart analiza cuidadosamente todas las paradas en el camino de un viaje que comienza con la solicitud de acceso a un sitio. El filtro utiliza algoritmos y aprendizaje automático para excluir de la compensación las rutas peligrosas, acelerando así el control. Además, FlashStart utiliza registros DNS actualizados y fiables para analizar las rutas de los usuarios hacia los sitios solicitados.
Capaz de filtrar unos dos mil millones de consultas a sitios web, FlashStart DNS protege la navegación de 25 millones de usuarios cada día, está presente en más de 140 países de todo el mundo y en unas diez mil empresas, escuelas y administraciones públicas, y es suministrado, incluso como servicio, por 700 socios certificados.
En conclusión, resumamos los siete puntos distintivos de FlashStart DNS:
» Actualización frecuente de las listas negras: FlashStart comprueba 200 mil sitios nuevos al día.
» Baja latencia garantizada (la latencia es el tiempo que transcurre entre la solicitud y el acceso).
» 200 categorías de sitios maliciosos y geobloqueo para aislar los países peligrosos.
» Uso de inteligencia artificial para mejorar la calidad de la lista negra y la latencia.
» Facilidad de configuración y personalización.
» Integración nativa con Active Directory de Microsoft para agilizar el trabajo de los administradores de sistemas en escuelas, instituciones y PYMES.
» Protección LAN mundial e itinerancia en puntos finales a través de la red Anycast.
En cualquier Router y Firewall puede activar la protección FlashStart® Cloud para asegurar dispositivos de escritorio y móviles y dispositivos IdC en las redes locales.