Vamos a realizar un análisis del virus WannaCry, pues ahora llegarán nuevas versiones después del éxito que ha tenido esta variante y vamos a explicar su secreto.
Se trata de un virus tipo Ransonware, nada nuevo pues lo llevamos viendo desde 2013 y casi todo el mundo habrá oído hablar de ello. Son virus que secuestran los equipos y archivos de los usuarios y les piden un rescate por ello. Las primeras versiones te bloqueaban el ordenador simplemente, pero ahora tus archivos son encriptados (protegidos) por una contraseña, en principio, imposible de descifrar.
El método de infección de este tipo de virus solían ser documentos adjuntos infectados en correos, pinchar enlaces falsos, falsos actualizadores de flash y programas similares engañosos además de las bien conocidas vulnerabilidades de java.
En los casos anteriores remarcar que, normalmente, siempre requerían la intervención del usuario, es decir tenía que pinchar algún enlace, visitar una web, abrir un archivo y entonces es cuando se producía la infección.
El escenario actual de WannaCry es totalmente diferente y su éxito tiene dos grandes razones: la primera es que es un virus gusano y la segunda que usa una vulnerabilidad muy potente que ataca al servicio SMB, que es el encargado de compartir archivos e impresoras. Además, la explotación de esta vulnerabilidad no requiere intervención por parte del usuario y está presente en todos los equipos de Windows que no dispongan del parche correspondiente de marzo.
Analicemos estas dos últimas partes: cuando hablamos de un virus gusano estamos hablando de un virus que él solo se expande, es decir, una vez el equipo es infectado él se dedica a buscar por la red del equipo infectado otros equipos vulnerables y los infecta y así sucesivamente, no necesita intervención de los usuarios para continuar con la expansión del virus, solo tiene que buscar otros equipos vulnerables al fallo en SMB.
Este ha sido sobre todo el éxito de Wannacry al atacar empresas, usar una vulnerabilidad que ataca el protocolo SMB que todas las empresas suelen usar para compartir archivos e impresoras y como todos los equipos de la red usan esta característica, el riesgo de infección es muy alto y fácil de expandir.
Este tipo de vulnerabilidades de gran alcance y que sobre todo afectan a empresas no son fáciles de encontrar. El origen de este material proviene de material “supuestamente “robado a la NSA y liberado después públicamente. Dicho material y más que liberaron, se usaba para espiar a las empresas y además sin dejar rastro en los equipos, lo cual denota intenciones de espionaje y no querer ser detectados, pues solo cargaban el virus en memoria y no se añadían funciones de autoarranque que pudieran levantar sospechas, preferían nuevamente explotar el fallo cuando les hacía falta y conectarse a los «objetivos´´, algo que nunca hace un virus comercial el cual siempre intenta garantizar el arranque en el próximo reinicio.
Las grandes afectadas son las empresas porque son las que suelen usar ese tipo de servicios y, además, es posible que en la red corporativa tengamos algún equipo sin actualizar o algún 2003 o XP, los cuales serían un trampolín para la infección de nuestra red. Hay que tener en cuenta que esta vulnerabilidad tenía solución desde marzo, pero no para equipos 2003, XP o inferiores, pues ya no tienen soporte de parches y nunca serán corregidos.
Se entiende que en grandes empresas actualizar muchos equipos puede suponer un trabajo extra y complicado que muchos no quieren asumir porque prima la producción pero, hoy en día, existen herramientas, técnicas, métodos y sistemas que hacen que estas tareas se pueden hacer con garantías pero, lógicamente, suponen un incremento en el coste de producción y muchas empresas prefieren asumir el riesgo.
Esto antes se podía asumir pero ahora los ataques cada vez son más sofisticados y no son los de antaño, con lo cual las medidas a adoptar tienen que ser diferentes, pues que se paralice una empresa por no tener las máquinas actualizadas es impensable actualmente ya que salen vulnerabilidades de gran peligrosidad constantemente y tenemos que tener nuestros equipos al día; ya no vale eso de “como lo tengo en mi red local no pasa nada”, y este caso es un claro ejemplo de ello.
Este virus y su gran alcance es solo el principio de esta nueva estrategia que van a tomar ahora y de cómo incluso en nuestra red local no estamos seguros como pensábamos antes, así que tendremos que aportar nuevas soluciones y nuevas estrategias.
Las principales estrategias y soluciones para este caso y similares son:
– Actualización de los equipos. Algo básico pero que no en todos los casos se hace por un motivo u otro.
– Políticas de actualizaciones seguras. Existen en la actualidad formas de hacer actualizaciones seguras en entornos con garantías del 100%. Se puede incluso analizar el parche a nivel de código y ver a qué afecta la actualización, es decir, a dónde queramos llegar. Es solo cuestión de recursos.
– Eliminación de equipos sin soporte de actualización. Ya sabemos que estos equipos son un foco de infección y lo más fácil y barato es eliminarlos.
– Fortificación a medida para equipos críticos obsoletos para que puedan convivir en redes modernas. Habrá casos en que podamos fortificar dichos equipos sin soporte y hacer que pueden convivir con seguridad con el resto, siendo algo que se realiza manualmente y exclusivamente a medida en cada equipo.
– Auditorías de seguridad o pentest y formación. Dependiendo del caso y complejidad de cada empresa tendremos que realizar unas comprobaciones mínimas y hacer pruebas en la seguridad de nuestra red y empresa, además de analizar los datos de que disponemos, pues de nada vale tener tal IDS o sistema X si no sabemos interpretar sus datos o usarlo correctamente.
– Definir planes de seguridad y continuidad de negocio. Lo peor en estos casos es no tener un plan B definido en casos de emergencia, lo cual crea desconcierto e inseguridad al recibir los ataques o incidentes. Además la tranquilidad de tener un plan B bien definido evita decisiones precipitadas que pudieran dar resultados nefastos.
– Política de Backups. Definir nuestra política de Backup es algo primordial y donde reside el éxito de nuestra organización, pues si todo lo demás falla será nuestro último bastión a superar y si no la tenemos claramente definida, podemos tener el problema más grave de todos: perder la información.
Estas soluciones son las que tienen que implantar y desarrollar el consultor de seguridad (mi caso) o el departamento correspondiente, siendo mejor siempre, desde mi punto de vista, la auditoría por parte externa, pues somos profesionales que no tenemos relación con la empresa y estamos especializados en ello.
Además cada empresa es un mundo y caso diferente, y el haber planteado ya soluciones de seguridad en otras empresas nos da una visión más amplia de los ataques y objetivos preferidos por los ciberdelincuentes, así como de las distintas soluciones y mejores resultados de defensa para cada empresa.
Esto no quita que cualquier empresa hoy en día tenga su departamento de seguridad o destine recursos para ello, es algo totalmente necesario y debería contemplarse en los presupuestos anuales.
Como siempre esto es una lucha constante y la seguridad es algo que no se puede conseguir nunca al 100%, pero sí minimizar los riesgos y tener planes definidos de seguridad que nos ayuden a combatirlos o mitigarlos, pues el robo/secuestro digital es la forma más fácil hoy en día de cometer un delito y la más difícil de perseguir.
Para los que queráis más información o asesoramiento sobre seguridad o cómo implantar y desarrollar estos planes u otras materias de seguridad, estaré encantado de atenderos en mi correo o por aquí.
Un saludo.
Leave A Comment