Ahora que está de moda este ataque al haber sido tan mediático, cabría informarse y saber de dónde proviene y por qué ha sido tan efectivo.
En el mundo de la seguridad y por lo que se puede extraer de WikiLeaks se “comenta”, que la vulnerabilidad utilizada por WannaCry proviene de material robado a la NSA y que fue liberado gratuitamente por el grupo hacker Shadow Brokers, después de no poder venderlo en una subasta por internet puesto que mucha gente no les creía. Fue entonces cuando decidieron hacerlo público y ganar notoriedad algo que, desde luego, han conseguido.
El origen de WannaCry todavía no está claro pero no parece ser que sea obra de Shadow Brokers, quienes solo liberaron el código. Ahora este grupo ha sacado por internet un sistema de venta de vulnerabilidades similares de alto nivel, de pago y mensual, que les funcionará bien después del éxito que ha tenido este ataque con su vulnerabilidad (https://threatpost.com/shadowbrokers-planning-monthly-exploit-data-dump-service/125710/).
Ahora la cuestión es si estos millones de víctimas que ahora están y serán atacadas podrían ser espiadas o atacadas por cualquiera que supiera explotarlas, porque además ha pasado inadvertida durante muchísimo tiempo e igual pasa con cualquier vulnerabilidad desconocida.
Es decir, ningún IDS ya sea de pago u Open Source (lo siento por mis amigos de AlienVault o Checkpoint, Palo Alto o similares, y que yo mismo vendo), no supieron detectar la amenaza desconocida, es decir, fallaron sus sistemas de defensa a la vulnerabilidad, lo cual no quiere decir que no funcionen contra el ransonware y amenazas habituales.
Lógicamente con el WannaCry la cosa fue diferente. Si lo introduces en una sandbox se nota rápidamente que es un malware ya que los programadores no se esmeraron en protegerlo excesivamente como he visto después de analizarlo, dado que su intención era expandirse rápidamente puesto que muchos otros grupos están utilizando esta vulnerabilidad pero sin levantar sospechas desde que liberaron las herramientas. Era cuestión de tiempo ver algo así y lo que está por venir.
Así que imaginemos la de miles de equipos que puede haber infectados y cuyos usuarios no lo sepan con alguna variante que no levante sospechas y que no sea como Wannacry, sin una pantalla roja en el escritorio diciendo que tienes que pagar un rescate.
Además si el que infecta la máquina por primera vez es listo y programó bien el código, lo primero que ha hecho es corregir la vulnerabilidad para que nadie le quite esa máquina y ahora cuando el usuario vaya a mirar ve que está actualizado pero no sabe que ya está infectado.
Dentro de poco veremos variantes y ataques que nunca se habían visto hasta ahora, pues desde el 4 de marzo que salió el parche hasta ahora los ciberdelicuentes y espías de todo el mundo han tenido tiempo de sobra para conseguir víctimas, pues WannaCry solo ha sido el indicador de lo vulnerable que puede ser la gente pues te deja una “tarjeta de visita”, pero es imposible ya calcular la de gente que podría haber sufrido esa vulnerabilidad sin ser detectada y estar ya infectados.
Manualmente una persona siempre puede detectar comunicaciones y otras cuestiones, pero está claro que las típicas medidas perimetrales y appliances de seguridad no son suficientes para detectar ataques e intrusiones desconocidas. Este ha sido un claro ejemplo de ello, donde la vulnerabilidad solo fue detectada cuando fue publicada. Los profesionales por ahora son la única defensa eficaz contra el malware y los ataques desconocidos o dirigidos.
Solo queda revisar bien nuestras infraestructuras y aplicar las medidas correspondientes de protección habituales para, al menos, no perder nunca los datos.
Podéis ver otra entrada mía donde recomiendo las pautas fundamentales para sobrevivir a estos ataques.
Un saludo.
Leave A Comment