El ataque del ransomware #WannaCry

Es desde hace doce años que vengo escribiendo este blog y nunca he escurrido el bulto cuando algo sucede, y por eso escribo hoy de este tema que tantos titulares ha despertado. Los que trabajamos en seguridad informática sabemos que “estar seguro” no es una meta a la que se pueda llegar con 100% de certidumbre, y lo entendemos como la gestión de un riesgo que hay que manejar. No hay soluciones sencillas a problemas sencillos. Nos reportan bugs a nosotros y nosotros reportamos bugs a otras empresas. Es el día a día de nuestro trabajo.
El ataque del ransomware #WannaCry - 2017 - 2018
Figura 1: El ataque del ransomware WannaCry

Ayer un ransomware nos afectó en unos equipos de red, como a muchas otras empresas de los más de 70 países que han sido detectados ya. El ransomware tiene como objetivo cifrar los archivos del equipo infectado para pedir un rescate vía BitCoins, en este caso 300 USD ( no tiene como objetivo robar datos) , y se distribuía con un dropper enlazado en un correo electrónico que no era detectado por muchos motores de antimalware.

El ataque del ransomware #WannaCry - 2017 - 2018
Figura 2: Detecciones de la primera muestra de WannaCrrypt en VirusTotal

Hoy ya sí, porque muchas empresas hemos colaborado con las casas de antimalware para que lo firmen -.

El ataque del ransomware #WannaCry - 2017 - 2018
Figura 3: Detecciones en la última comprobación

El esquema de ataque era:

– Fase de infección: Spam masivo a direcciones de correo electrónico de todo el mundo con un enlace que descargar el dropper. (El que descarga el payload)

– Cuando se descarga el dropper se infecta con el ransomware la máquina.

El ataque del ransomware #WannaCry - 2017 - 2018
Figura 4: Alerta del CCN-Cert publicada al poco de comenzar el ataque

– Desde la máquina infectada se escanea la LAN en busca de equipos vulnerables a MS17-10 para infectar a ese equipo también y continuar la infección. Tal y como anunciaba el CCN-CERT inmediatamente.

Lo cierto es que este esquema, aprovechándose de las primeras infecciones, ha dado con muchos equipos en las LAN de muchas empresas que no estaban actualizados con los últimos parches de seguridad. Esto es así, porque en algunos segmentos internos de algunas redes, el software que corre en esos equipos necesita ser probado con anterioridad y el proceso de verificación y prueba de los parches no es tan rápido en los segmentos internos como en los externos porque el volumen de software interno suele ser mucho mayor y de mayor sensibilidad para la continuidad del negocio.

El ataque del ransomware #WannaCry - 2017 - 2018
Figura 5: WannaCrypt en NHS en inglaterra

A pesar del ruido mediático, este ransomware no ha conseguido mucho impacto real, y como se puede ver en la billetera BitCoin que utiliza, el número de transacciones de momento va solo por 8 en una de las tres direcciones que utiliza este malware, tal y como se puede ver en la imagen siguiente. Es decir, solo se ha pagado por el rescate a esa dirección por 8 equipos en todo el mundo.

El ataque del ransomware #WannaCry - 2017 - 2018
Figura 6: Dirección BitCoin con transferencias realizadas

En total, unos 6.000 USD en todo el mundo en el último recuento:

El ataque del ransomware #WannaCry - 2017 - 2018
Figura 7: las direcciones usadas

Por supuesto, lo ideal es que esto no fuera así, pero en muchas ocasiones surgen incompatibilidades entre software a medida creado en las empresas que dan soporte al core de negocio, y los nuevos parches. En muchas unidades, donde no existen esas limitaciones con largos procesos de verificación para garantizar que todo va bien, no ha pasado absolutamente nada con este ransomware. Para evitar el impacto de tener un equipo con un proceso de actualización más largo, se contrarresta con procesos de copia de seguridad continuo y pruebas de planes de contingencia permanentes. De hecho, el mapa de infecciones de WannaCry, el buen hacer de los equipos de respuesta a incidentes lo mantiene en números muy bajos – no solo en pagos, sino en número de direcciones vivas infectadas en todo el mundo –

El ataque del ransomware #WannaCry - 2017 - 2018
Figura 8: Mapa de infecciones de WannaCry en tiempo real

Muchos pueden pensar que el problema es que se es lento haciendo la verificación de que un parche no rompe nada, o que no se debería hacer porque los parches ya vienen probados, pero la realidad es que en redes de empresas con la cantidad de tecnología que generamos diariamente en Telefónica, no se puede arriesgar la continuidad de negocio de un sistema que da servicio a los clientes por un problema con un parche, así que se invierte más en responder ante un posible riesgo de que sea explotado con medidas de detección y respuesta, en lugar de arriesgarse a que algo falle en la prevención rápida. Y no es porque el parche esté mal, sino porque puede afectar al funcionamiento de cualquier módulo del sistema completo.

Nuestro equipo de seguridad y respuesta ante incidentes

A nosotros nos afectó esta pieza de ransomware en un determinado segmento, como a muchas otras empresas por desgracia, y debido a que la gestión de los riesgos es una prioridad, el equipo encargado de ocuparse de la seguridad interna de la red Telefónica de España optó por primar la protección de los servicios de los clientes y cortar la posible expansión por la LAN interna, para lo que, en el momento en que se detectó el ataque, se decidió responder con una desconexión de posibles equipos infectados para que el servicio que damos a nuestros clientes continuara.

El ataque del ransomware #WannaCry - 2017 - 2018
Figura 8: El e-mail avisando a los compañeros de las medidas de control

Hasta aquí, todo normal en un proceso habitual de un equipo de respuesta a incidentes cuando en una compañía se cuela un malware que no ha sido detectado por las medidas de seguridad – y son muchas – que se tienen instaladas. Y a investigar para solucionar el problema lo antes posible sin que afecte a lo más importante, los datos y la seguridad de los servicios de los clientes.

A mí, por motivos personales, me pilló de vacaciones, pues como todo buen trabajador había solicitado desde hacía más de un mes, una semana de vacaciones que tenía marcada a fuego para comenzar antes de ayer jueves. Poco a poco, ayer viernes, me fueron contando lo sucedido y, atendiendo a todo el mundo hice lo que he hecho siempre, ser transparente y no escurrir el bulto y apoyar a los compañeros que tenían esta situación.

Corté mis vacaciones y me sumé a comité de crisis que está lidiando con esta situación, aunque ellos mismos están más que preparados y se valen para resolver este tipo de situaciones a las que los que trabajamos en seguridad nos enfrentamos periódicamente. Por la seguridad de Telefónica velamos miles de personas. De hecho, esta crisis ha sido más mediática en las redes sociales que en la realidad interna de Telefónica, donde los equipos infectados están controlados y están siendo restaurados. Me uní para aportar lo que pueda a compañeros que saben lo que se hacen y que tienen más que claro lo que tienen que hacer.

A algunos en las redes sociales le ha llegado a sorprender que las decisiones de seguridad interna en un momento de una infección por malware de unos equipos no las tome yo, pero eso es porque mis responsabilidades directas son las de CDO (Chief Data Officer), donde están las unidades de LUCA (la unidad de BigData y Data Analytics para clientes), ElevenPaths (la unidad de ciberseguridad global para clientes), Aura y la 4º Plataforma (que presentamos en el Mobile World Congress). Aún así, me apunté, me apunto y me apuntaré a ayudar encantado a mis compañeros, y a los compañeros de otras empresas que también han llamado pidiendo colaboración y ayuda.

Ser Ressiliance

Los que estamos en esto sabemos que alcanzar el 100% de seguridad es un hito solo al alcance la imaginación de los que no saben de seguridad, y nosotros haremos lo que los que trabajamos en esto sabemos hacer: Seguir mejorando para minimizar el riesgo. Intentar mejorar nuestro trabajo para que el número de incidentes se reduzca y, lo que es más importante, para que nuestros clientes puedan seguir disfrutando de sus servicios.

El proceso de fortificación de una empresa exige poner todas las medidas de seguridad que sea posible siempre que una no afecte a otra. Y exige balancear las inversiones en prevención (evitar que pase la seguridad a toda costa), detección (lo antes posible cuando algo que sabes que puede pasar pase) y respuesta (responder para que la continuidad del servicio siga funcionando), es decir que la empresa sea ressiliance.

Ninguna empresa puede garantizar que no vaya a afectarle un malware u otro. Yo no lo haría con ninguna. Recuerdo que no hace muchos meses un cliente que había sido atacado me dijo: “Haz lo que sea pero garantízame que nunca me va a volver a pasar”, Y yo respondí como hago siempre “Te puedo garantizar que éste ya no te sucede, pero no que no te vaya a suceder otro distinto”.

Los que creen que se pueden evitar el 100% de los incidentes es que no saben nada de seguridad informática. Lo que tienes que tener es un equipo que sepa detectarlos y responda de forma contundente para que el sistema informático sea resistente. Y en Telefónica se está trabajando de esa forma para conseguir que, como se ha visto, los servicios de nuestros clientes no se hayan visto comprometidos.

Saludos Malignos!

PD: Quiero dar mi agradecimiento personal a los cientos de profesionales del mundo de la seguridad que han contactado con nosotros para informarse, apoyarnos, ofrecer ayuda, cambiar conocimientos y hacer, en definitiva lo que es nuestro trabajo. Gracias por vuestro apoyo. Son tantos y tantos que me costaría ponerlos todos aquí. Gracias, de corazón.

FUENTE
Por | 2017-05-12T20:48:13+00:00 mayo 12th, 2017|Hacking|Sin comentarios

Deje su comentario