Twitter Flickr Pinterest LinkedIn YouTube Google Maps E-mail RSS
formats

Wannacry, Ransomware behind de musgo, hoy NO, mañana.

Publicado en 15 junio, 2017, por en Reflexiones, Seguridad, Sistemas.
LinkedInPinPrint

Todos hemos oído hablar en los medios de WannaCry. De la infección de al menos 300.000 ordenadores repartidos en más de 150 países, entre ellos España. De los daños económicos que ha causado el virus, de sus consecuencias en diversas instituciones algunas de ellas públicas, de la impotencia generada y generalizada. De las pérdidas de información y en algún que otro caso, como en Reino Unido, hasta de posibles colapsos del sistema sanitario, operaciones canceladas, pacientes sin atender, etcétera, etcétera, etcétera.  En muchas empresas, se aplicó el término, “Apaga y vámonos”. Aunque a algunos les pillo de vacaciones, o haciendo marketing con el gorrito puesto, echando balones fuera a los compis, haciendo teambuilding.

Hace un par de días, me compre un libro, en el salón de mi ciudad, “Batallas del Mundo” (Militaria), por cierto bastante bueno, que explica de forma ilustrada todas las contiendas que han existido en la historia. Por qué digo esto, pues porque tendremos que empezar a acostumbrarnos desgraciadamente a otro tipo de “guerras”, estas se desarrollaran en la red, y los perjudicados serán también las personas. Y las batallas ocasionaran bajas, económicas y quién sabe si de otro tipo. Algunos expertos hablan de una guerra cibernética entre diversos países. Su nuevo campo de batalla, Internet. Un campo donde caben las emboscadas, las encerronas, la espera y donde cualquiera puede atacar.

Y sí, este tipo de amenaza que cifra y que te pide que pagues cual banco sus deudas,  aunque no fuera Wannacry, sino Cerber, me ha afectado sólo profesionalmente en varios sistemas Windows Server, incluso que acostumbro actualizar de forma periódica.

Cual presagio se cumplió lo que tuiteé hace unos años:
Un #sysadmin es similar a un portero de fútbol, puede ser bueno o malo , pero como un hacker tire bien el penalti, el gol es seguro.

En este post os voy a intentar dar unos pequeños consejos, para “evitar en la medida de lo posible” ser contagiado por este poderoso virus, que hace llorar. Pero antes de nada os pondré en antecedentes de responsables y héroes anónimos.

Este tipo de amenaza de cifrado de datos pidiendo rescate, se ha extendido como la pólvora, y Wannacry ha sido la caja de pandora del Ransomware  y un potente gusano (worn) vírico de “Día Zero”. El pasado mes hemos asistido a uno de los mayores ataques globales realizados en la historia de Internet.  Se han infectado miles de ordenadores, en diversos países,bla, bla entre ellos el mío, mostrando en las pantallas de los equipos afectados Windows mensajes generados por  un alarmante virus que cifra los datos, y pide a cambio un rescate en moneda virtual Bitcoin. De nada han servido en ciertos casos disponer de antivirus, ya que la vulnerabilidad era “Zero Day”, es decir, que ni las propias casas de antivirus conocían el tipo de ataque, ni el medio por el que entraba. De nada sirvió que las empresas fueran como el caso de Telefónica “punteras” en cuestiones de TI. Podían haber estado tiempo minando dinero virtual, sin ser conscientes de ello y encima pensando el motivo de que las nuevas inversiones en hardware  no ofrecían el rendimiento adecuado. Estaba behind de musgo.

Me rasco el coco, y pienso; ¿Pero quién es el culpable? y ¿Cómo se puede evitar ataques de este tipo?

La cuestión es compleja, y nadie esta exento de ser atacado, pero culpables hay y metodologías y planes de contingencia deben ser aplicados en estos casos, pero es necesario creer, invertir, formar y actuar en base a posibles nuevos ataques.

Lógicamente el principal responsable, es el agente del daño, el grupo de criminales de origen desconocido actualmente,  aunque apuntan por la forma de programar, a un grupo de Corea del Norte, conocidos como Lazarus.

Por partes.

Por un lado un grupo de hackers conocidos como Shadow Brokers, robaron a la NSA la información necesaria donde se definía el fallo de seguridad en los sistemas Windows. Esa información fue usada por los desconocidos hackers de sombrero negro o Black Hat (crackers), estos se aprovecharon del fallo detectado ya hace tiempo por la NSA y robado por Shadow Brokers.

La NSA no notificó del error a los de Redmond (Microsoft), pero sí el pirateo de sus algoritmos secretos, varios meses después.  Era pues un fallo de seguridad Zero Day, conocido por los crackers, previamente la NSA, y alguna que otra mente inquieta que supiera el fallo.

Es otro culpable, por aprovecharse de esta vulnerabilidad sin notificarlo a Microsoft, aun con buena intención según ellos,  estos están muy indignados con la NSA. La NSA ha usado como excusa que el algoritmo no notificado era empleado para sus propósitos, en principio de lucha contra el crimen y terrorismo.

Microsoft sacó el parche antes, el día 14 de Marzo. En este contexto, Microsoft culpa a la NSA que podría haberse evitado el daño causado. Pero en mi opinión tampoco exime a Microsoft de su responsabilidad y fiabilidad en sus versiones de sistemas operativos. Ya que a diferencia de lo que erróneamente se pensaba, atacaba a todas las variantes no actualizadas, desde XP(no actualizado) hasta el reciente Windows 10.

Finalizo, pensando que también la responsabilidad es de muchos usuarios y administradores, por no tener costumbre o desconocimiento de no  actualizar sus sistemas operativos con las últimas versiones. Reconozco que en determinadas ocasiones, si el problema es de Día Zero, no hay nada que hacer, pero por lo menos no perder los hábitos tanto de actualizar como de crear copias de seguridad para restaurar. Explicaré luego que estas copias deben apartarse para evitar ser contagiadas.

Por lo tanto, se puede entender que existen responsabilidades repartidas un poco entre todos en mayor y mejor grado, primero el no ser conscientes de lo que supone la seguridad informática en todos los ámbitos, en  un mundo digitalizado, globalizado y conectado las 24h a Internet.

Otro gran culpable son los gobiernos, por su e-inoperancia (un término que creo) , falta de inversión e incomprensión,  ya que gracias a ataques como este, empiezan a ser verdaderamente conscientes de la importancia que cobra la seguridad de los datos y sistemas en la actualidad. Empiezan a entender que: es necesario invertir en personas y medios, generar cantera de expertos y apoyar en formación.

¿Héroes?

Pues gracias a un joven británico, y no es Marcelo, es Marcos Hutchins, con sólo 22 años decidió pasar a la historia por darse cuenta analizando el código del Wannacry, de la existencia de un dominio extraño que decidió registrar. El pago de 8 dólares y su registro evitó que el virus se propagase. El nombre en concreto parece del dominio para los curiosos no tiene desperdicio, no intentéis entenderlo.

Eso si me ha costado teclearlo, pero es, es este peazo de chorizo de URL

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Si hacéis un whois veréis que se encuentra registrado y protegido sus datos (lógicamente) por la empresa WhoisGuard (http://www.whoisguard.com/)

Gracias al inmediato registro, Wannacry no pudo seguir encriptando datos de los usuarios. Pero esto fue temporal, debido a que si no se actualizaban los sistemas, y con unas pequeñas variaciones, Wanacry se podría despertar de nuevo, pidiendo el doble de lo que ya pedía, ahora unos 600 Euros.

Que se sepa o me han contado, los crackers sólo han recaudado 100.000$ aproximadamente. Pero, lo peor puede estar por venir, puesto que este tipo de amenazas de tipo cero, pueden ser liberadas por diversos grupos de hackers. Sólo en el 2017 más de 200.000 nuevos troyanos ransomware se han detectado por empresas de antivirus. Y la infección no sólo se puede extender a ordenadores, sino a smartphones, SmartTvs, y dispositivos que tengan sistema operativo. Recordad que todo SO puede ser infectado, y no solo hay que ceñirlo al mundo de los ordenadores.

Con la llegada de los S.O. e internet, hasta mi cafetera con su sistema no actualizado me puede pedir pasta al encenderla. Al tiempo ;.)

Y es al menos un tanto extraño, que a los políticos del país, les tiemblen las canillas, y rocen lo cómico en principio, cual proyecto de la agencia TIA, se vayan a crear iniciativas del gobierno requieran reclutar ciber protectores digitales defensores del país, en caso de posible ataque. Vamos, lo que se dice estar en reserva, pero con el ordenador en el macuto. Preparare uno.

Les recuerdo un dato importante,  no pierdan la perspectiva PREVIA y FUTURA de inversión en I+D+I  para estos aspectos y cuestiones de seguridad. Quid Pro Cuo, como Hannibal Lecter. Regulen por favor,  inversión a cambio de seguridad y profesionales.

La LSSI, LOPD, pierden parte de su sentido, si entran como Pedro por su casa. Es preciso inversión en inspecciones de seguridad, en ISO 27000x, en auditoria, en formación, regulación, lo que sea que los EXPERTOS entiendan.

En fin, os dejo los consejos para evitar en la medida de lo posible ser contagiado por el Ransomware.

Como una entrada de boxeo, donde tú eres peso pluma y te vas a pegar con el peso pesado Deontay Wilder

A la derecha, el más importante, ACTUALIZA al máximo tu sistema operativo, dalo más importancia a partir de ahora. Evita el pirateo, de SO.

Pero actualiza, también las aplicaciones, tus navegadores, tus suites de seguridad y tus programas de trabajo. La actualización aplícatela para todo.

A la izquierda el resto.

Usa un antivirus «eficaz».  Cerca de 400.000 fragmentos de código dañino o malware son liberados todos los días. Una cada 0,4 segundos.

No abras adjuntos desconocidos de los emails que te entren. Asegúrate su procedencia, emplean ingeniería social para el engaño.

Crea tus copias de seguridad de forma regular, y separalas de los datos de trabajo. De esta forma evitamos que se infecten también. Si empleas maquinas virtuales, recuerda puedes hacer rolback en el tiempo.

Si ya has sido infectado, recuerda NO pagar el rescate. El tema del bitcoin, es otro tema complejo que en principio no tiene nada que ver con el  mundo del hacker, pero si es cierto que preserva anonimato del que solicita el pago.

Existen utilidades para desencriptar los ficheros encriptados, os dejo una de Trend Micro, válida para Cerber, WannaCry, Locky, Crytolocker, …
https://success.trendmicro.com/solution/1114221-downloading-and-using-the-trend-micro-ransomware-file-decryptor

No emplees una única solución de seguridad, en muchas ocasiones se pueden combinar sin problemas. Puedes emplear una solución a mayores exclusivamente para el ransomware, os dejo 2:

CrytoPevent Malware Prevention – https://www.foolishit.com/cryptoprevent-malware-prevention/
Ramsonfree – https://ransomfree.cybereason.com/

Si usas un smartphone sigue los mismos consejos, pero no instales apps de orígenes desconocidos.

 

Ya concluyo, ya. Por favor, que no empiece el combate, y si comienza que seguro lo hará, nos hemos estado entrenando, ganando peso para vencer el campeonato mundial. Y si no, si te duelen las meninges con todo este tema, puedes comprarte un terruño, ponerte una gorra con una espiga de caja rural, y plantar unos tomatoides.

LinkedInPinPrint
Etiquetas:, ,
« »

Usted debe ser Registrado para publicar un cometario

Home Reflexiones Wannacry, Ransomware behind de musgo, hoy NO, mañana.
© www.palentino.es, desde el 2012 - Un Blog para compartir conocimientos ...

Uso de cookies en mi sitio palentino.es

Este sitio web utiliza cookies para que tengamos la mejor experiencia de usuario. Si continúas navegando estás dando tu consentimiento para la aceptación de las mencionadas cookies y la aceptación de la política de cookies

ACEPTAR
Aviso de cookies