El crecimiento exponencial de la tecnología, va de la mano con la vulnerabilidad de los sistemas

por Josber Berroterán
Senior Advisory Cyber Security
Services EY Venezuela

En las últimas décadas, se ha evidenciado el crecimiento exponencial de la tecnología en cualquier ámbito y pareciera que este crecimiento va de la mano con la vulnerabilidad de los sistemas.

La extorsión digital no es un concepto nuevo; sin embargo, se ha visto un crecimiento importante durante los dos últimos años que ha abierto los ojos de los ejecutivos de alto nivel. Este creciente impulso que ha tenido, es debido a que se ha convertido en una fuente fácil de ingreso incluso para aquellos sin habilidades de hacking.

El ransomware es un tipo de malware informático que encripta archivos y su principal propósito es la extorsión digital. Son normalmente propagados por correos electrónicos phishing, correos que buscan engañar al usuario con el fin de descargar un archivo malicioso. El atacante o hacker exige un rescate para el descifrado de los archivos, el cual debe ser pagado dentro de un tiempo estipulado en la forma de cripto monedas, siendo la más utilizada el bitcoin.

El pasado 12 de mayo de 2017, el masivo ataque del ransomware WannaCry ocurrió en diferentes sectores, incluyendo salud, gobierno, telecomunicaciones y gas. Hasta la fecha, WannaCry se ha extendido a más de 300.000 sistemas en 150 países, con impactos significativos en el Servicio Nacional de Salud del Reino Unido, pero con mayor cantidad de ataques de forma masiva y exitosa en Rusia y China, quizás por el alto porcentaje de software sin mantenimiento o fuera de soporte.

WannaCry se propaga a través de SMB (protocolo Server Message Block, o servidor de mensajes por bloque) que opera a través de los puertos 445 y 139, típicamente utilizados por dispositivos Windows para comunicarse con sistemas de archivos a través de una red. Una vez instalado correctamente, este ransomware escanea y se propaga a otros dispositivos en riesgo que se encuentren dentro de la misma red.

Es importante destacar que en el mes abril del 2017, el grupo de activistas cibernéticos Shadows Brokers, hizo pública una serie de vulnerabilidades que implicaban la explotación del SMB para los sistemas Windows, las cuales no fueron abordadas y/o corregidas oportunamente.

Crónicas del WannaCry:
⦁    El atacante usa un mecanismo de infección desconocido. (Se especula que el mecanismo inicial fue el phishing).
⦁    La víctima recibe el malware WannaCry y lo ejecuta inadvertidamente.
⦁    WannaCry encripta todos los archivos en la máquina de la víctima, utilizando un esquema de cifrado robusto (AES-128) prácticamente imposible de decodificar. Los archivos cifrados por WannaCry se añaden con un archivo de extensión de “.wncry”.
⦁    Seguidamente, se muestra una nota de rescate solicitando $ 300 a $ 600 en bitcoin.
⦁    WannaCry establece la conexión por medio de la web profunda, conectando de nuevo con el atacante (lo que hace que esto sea extremadamente difícil, si no imposible de rastrear).
⦁    Se comprueba la dirección IP de la máquina infectada, se analizan las direcciones IP de la misma subred para vulnerarlas.
⦁    Cuando un nuevo equipo se conecta correctamente (se explota la vulnerabilidad), el malware continua con el ciclo de cifrado y propagación.

¿Por qué fue tan exitoso WannaCry?
Una vez que una infección tiene lugar, WannaCry activa una dirección URL llamada “el interruptor para matar” determinando si el malware se encuentra en un entorno aislado como un sandbox. Si la URL no responde, el malware comienza con el proceso de cifrado, de lo contrario se direcciona a otro equipo de la red. A diferencia de otras familias de ransomware, WannaCry sigue encriptando archivos de víctimas después de cualquier cambio de nombre y archivo nuevo creado después de la infección. Una nota de rescate se muestra en la máquina de la víctima, que puede ser originada en varios idiomas; sin embargo, el primer lenguaje mostrado es elegido basado en la ubicación de la máquina.

¿Qué puedes hacer al respecto en caso de infección?
Si observa en su equipo que las extensiones de archivos importantes han cambiado a uno de los comentados anteriormente, entonces por desgracia usted es una víctima de este ransomware. Siga estos pasos para reducir el impacto:
⦁    Desconecte todas las conexiones de red y almacenamiento externo inmediatamente.
⦁    Apague el equipo e informe a sus equipos de Tecnología de Información (TI).
⦁    No pague ningún rescate al hacker ya que esto alimenta el ecosistema ilegal y no hay garantía de que pueda recuperar los datos.
⦁    Proteger y mantener sus copias de seguridad listas antes de que los expertos le ayuden.

Lo que esperamos a continuación
Se han empezado a ver nuevas variantes del malware WannaCry y sin el “interruptor para matar”. Y en los próximos días y semanas los expertos han advertido vendrán más mutaciones y copias de este ransomware que se aprovecharán de las vulnerabilidades más recientes. También se espera que los atacantes apliquen técnicas de propagación de WannaCry, creando otros malwares que se pueden mover lateralmente dentro de un sistema, infectando sin la necesidad de intervención humana.

Los ataques de ransomware significativos tienden a ser independientes al tipo de industria, tratando de maximizar los ingresos y golpeando un amplio rango de objetivos como sea posible. Las empresas que aún utilizan sistemas fuera de mantenimiento (o antiguos) están en una postura de riesgo elevado.

Sobre el autor:

Josber-BerroteranJosber Berroterán es un Senior para la práctica de Advisory en EY Venezuela. Cuenta con más de 3 años de experiencia dedicados a la consultoría de seguridad de la información y auditorías externas. La experiencia de Josber se focaliza en evaluaciones de ciberseguridad basado en controles del anexo ISO 27002, auditorías externas de TI, continuidad del negocio, seguridad física, análisis de vulnerabilidades y gestión de riesgo. Josber empezó su educación profesional en la universidad metropolitana donde se graduó como ingeniero de sistemas en el 2014.
Josber tiene conocimientos avanzados de SAP ERP. Bases de datos MySQL y SQL Server. Herramientas para el análisis de información (como ACL y suite de office). Manejo de multiplataforma (Windows, Unix y Linux). Fluidez en lenguajes de programación de sistemas web incluyendo HTML, PHP, JAVASCRIPT, AJAX y CSS3. Programación de sistemas de escritorio basados en frameworks JAVA y .NET. Josber cuenta actualmente con las certificaciones: CCNA (Cisco Certified Network Associate), ITIL Foundation Certificate in IT Service Management y CompTia Security+.