WannaCry, informe de situación según la compañía de ciberseguridad S21sec

Desde la compañía S21sec se quiere compartir las últimas actualizaciones, centradas especialmente en las acciones correctivas, en el caso de verse afectado, y en las acciones preventivas para tratar de evitar esa infección e impedir que siga propagándose.

Durante el pasado viernes 12 de mayo se produjo un ciberataque a escala mundial mediante una combinación de ataque de un gusano, procedente del código filtrado por Shadow Brokers del exploit EternalBlue desarrollado por la NSA, junto con un 'ransomware' denominado WannaCry. El ataque se desplegó de forma simultánea y a nivel global, afectando a multitud de países y corporaciones en todo el mundo.

El gusano explotaba una vulnerabilidad del sistema operativo Windows para ‘infectar’ otros ordenadores vulnerables que estuvieran en la misma red local que la máquina afectada, consiguiendo una velocidad de propagación muy alta. El punto de entrada de este malware se cree que ha sido a través de un email que incluía un fichero adjunto, por lo que en todos los casos era necesaria la actuación de un usuario poco informado que abriera por error el mail y el archivo en cuestión, produciéndose a continuación una propagación muy rápida en toda la red de la empresa afectada.

La vulnerabilidad de Windows utilizada por esta versión de WannaCry es conocida como EternalBlue y ataca al protocolo de compartición de ficheros SMB de Windows. Esta vulnerabilidad fue anunciada y corregida por Windows el 14 de marzo de 2017, con nombre MS17-010. El 14 de abril de 2014 Shadow Brokers filtró la información relativa a un exploit desarrollado por la NSA para esta vulnerabilidad.

En general, el impacto que ha tenido este virus se puede vincular a varias causas:

1. Problemas de concienciación/ formación del personal en el sector empresarial para que no abran ficheros que vienen en emails ‘sospechosos’.
2. Velocidad de respuesta de las empresas en aplicar los parches o correcciones de Windows y otras empresas suministradoras de productos y soluciones software una respuesta no inmediata en la aplicación de estos parches o correcciones puede dejar a una empresa en situación de desprotección.
3. Potencial de las empresas en detectar que están sufriendo los efectos de un ataque y en ser capaces de activar mecanismos de respuesta.

Las empresas que tenían estos tres ámbitos bien cubiertos han sido sin duda mucho menos afectadas que el resto. Por supuesto, no existe la protección total o la garantía completa de no poder ser afectado, pero las mejoras que se consiguen con los aspectos mencionados anteriormente, serán clave para evitar que sucesos como éste presenten el nivel de impacto que han tenido actualmente.

El presente documento resume lo ocurrido con el ataque mediante el ransomware WannaCry 2.0, el impacto que ha tenido a nivel global, las respuestas de empresas del sector de la ciberseguridad y de instituciones públicas, así como un resumen de las recomendaciones sobre qué medidas aplicar para proteger los activos, redes y ordenadores en el sector empresarial.

El impacto de este ataque en usuarios 'domésticos/no empresariales' no es diferencial frente a otros ataques de ransomware, ya que la principal diferencia de éste, se encuentra relacionada con la capacidad y velocidad de propagación del gusano en redes empresariales explotando la vulnerabilidad mencionada.

Según la investigación que se está llevando a cabo desde S21sec, el vector de ataque ha sido mediante correos electrónicos con un documento adjunto que, al ser abierto por el usuario, permite la ejecución de un código malicioso (gusano). Éste es el vector de ataque más usual, ya que permite, usando la ingeniería social, que la víctima abra cierto tipo de ficheros supuestamente inofensivos (pdf, doc, xls, etc.) que permiten la ejecución de malware en la máquina del usuario.

Dicho gusano explota una vulnerabilidad (conocida como EternalBlue) en el sistema de compartición de ficheros del sistema operativo Windows (parte del protocolo SMB) que permite propagar el malware a otras máquinas que estén en la misma red que la máquina infectada (y que no estuvieran convenientemente actualizadas o protegidas contra este problema de Windows).

De acuerdo con los datos disponibles hasta el momento, la explotación de dicha vulnerabilidad habría sido encargada por la NSA a la organización Equation Group. Posteriormente, el grupo The Shadow Brokers (TSB), pudo hacerse con esta información con el fin de comercializarla y, finalmente, publicarla (hecho que ocurrió el pasado 14 de abril).

Las versiones supuestamente afectadas por esta vulnerabilidad serían todas las anteriores a Windows 10 que no estén parcheadas contra la vulnerabilidad documentada por Microsoft en su boletín de seguridad MS17-010 (publicado por Microsoft el 14 de marzo).

Una vez la máquina está infectada por el gusano, éste extrae un 'payload' con el 'ransomware', en concreto de la familia WannaCry, que es el nombre o palabra clave asociado a la oleada de noticias en todos los medios de comunicación. El malware de tipo ‘ransomware’ es un tipo de amenaza que cifra los archivos de la máquina infectada solicitando un rescate económico, normalmente en bitcoins, ya que es un tipo de criptomoneda aceptada prácticamente a nivel global y que hace virtualmente imposible el rastreo de las personas o entidades que reciben las transferencias.

La decisión de multitud de empresas de pedir a sus trabajadores apagar los ordenadores y desconectarlos de la red se ha debido a que se exponían a perder información sensible, no sabiendo de primera mano si ésta podría ser recuperada mediante herramientas de descifrado o cuál podría ser el impacto real en los ordenadores o sistemas de toda la empresa. En la decisión de apagar las máquinas ha influido también la rápida propagación que estaba realizando el gusano.

Cabe destacar que, en esta versión del virus WannaCry, el cifrado de los archivos prosigue tras la aparición de la nota de extorsión, al contrario que en otras familias de ransomware que no muestran la nota hasta que el cifrado no se ha completado (esto hace recomendable que cualquier usuario que vea un mensaje de rescate en su pantalla proceda al apagado inmediato de su ordenador y se pongan en contacto con su departamento o empresa de servicios de IT o ciberseguridad).

Otro efecto que se ha observado durante la propagación del gusano ha sido el de ver ordenadores bloqueados y/o mostrando pantallas azules. Esta situación se produce como consecuencia del intento del virus de utilizar la vulnerabilidad antes descrita, provocando en ocasiones un fallo del sistema y el consiguiente bloqueo o reinicio. En estos casos, se recomienda apagar dichos ordenadores y evaluar posteriormente cuál ha podido ser el nivel de afectación (número de archivos encriptados).

Con el fin de evitar que los usuarios puedan intentar protegerse de forma automática contra la vulnerabilidad de Windows que permite su propagación por la red de la empresa, se ha observado que el malware desactiva el mecanismo de actualizaciones de Windows mediante el borrado de la siguiente clave de registro:

HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\Schedule\CompatibilityAdapter\Signatures\MicrosoftUpdate Scheduler.job

El ransomware avisa a los usuarios infectados que disponen hasta hoy día 15 de mayo para ingresar la cantidad de rescate exigida (entre 300 y 600 dólares, a pagar en bitcoins). Transcurrido ese tiempo, dicha cantidad se doblaría, dándose al usuario (en realidad víctima del ataque más que usuario) otros 4 días para poder realizar el pago. Pasado el plazo de 7 días desde la infección, el malware anuncia que se perderá la oportunidad de realizar el ingreso y de poder descifrar los ficheros afectados y/o se producirá el borrado de los mismos.

Como parte de las medidas de mitigación lanzadas desde el ataque, para la primera muestra se ha tomado el control del dominio hxxp://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/, que era el dominio programado por defecto en el malware o gusano y con el que necesita comunicarse necesariamente para su propagación. El control de este dominio por parte de las autoridades y empresas involucradas en la gestión del incidente impedirá que el virus continúe su expansión, al menos en su versión inicial.

Sin embargo, se han observado otras muestras con al menos otro dominio diferente:

hxxp://www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Incluso parece haberse publicado al menos una muestra que no llevaría la opción de kill switch (que permite o no la propagación), aunque al parecer el archivo de ransomware estaría corrupto y no permitiría la ejecución del mismo.

Los pasos para evitar una posible infección y diseminación del gusano serían:

1. Parchear la máquina si fuera vulnearble con el parche de Microsoft MS17-010(https://technet.microsoft.com/en-us/library/security/ms17-010.aspx)
2. Deshabilitar las macros
3. Deshabilitar SMBv.1

En relación con las medidas correctoras o preventivas a aplicar en ordenadores con sistemas operativos de Microsoft, la propia empresa ha publicado un comunicado con un parche (KB4012598) para protegerse del ataque y recomienda su instalación en todas las versiones de Windows potencialmente afectadas.

Se puede encontrar más información al respecto en el siguiente link: blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Otros enlaces de interés para prevenir y mitigar el ataque son los que han ofrecido:

INCIBE: www.incibe.es/protege-tu-empresa/avisos-seguridad/importante-oleada-ransomware-afec­ta-multitud-equipos

CCN-CERT: loreto.ccn-cert.cni.es/index.php/s/tYxMah1T7x7FhND