{"id":9521,"date":"2017-06-15T14:07:08","date_gmt":"2017-06-15T12:07:08","guid":{"rendered":"http:\/\/www.palentino.es\/blog\/?p=9521"},"modified":"2017-06-15T15:23:48","modified_gmt":"2017-06-15T13:23:48","slug":"wannacry-ransomware-behind-de-musgo-hoy-no-manana","status":"publish","type":"post","link":"https:\/\/www.palentino.es\/blog\/wannacry-ransomware-behind-de-musgo-hoy-no-manana\/","title":{"rendered":"Wannacry, Ransomware behind de musgo, hoy NO, ma\u00f1ana."},"content":{"rendered":"

Todos hemos o\u00eddo hablar en los medios de WannaCry<\/strong>. De la infecci\u00f3n de al menos 300.000 ordenadores<\/strong> repartidos en m\u00e1s de 150 pa\u00edses, entre ellos Espa\u00f1a<\/strong>. De los da\u00f1os econ\u00f3micos que ha causado el virus, de sus consecuencias en diversas instituciones algunas de ellas p\u00fablicas, de la impotencia generada y generalizada. De las p\u00e9rdidas de informaci\u00f3n y en alg\u00fan que otro caso, como en Reino Unido, hasta de posibles colapsos del sistema sanitario, operaciones canceladas, pacientes sin atender, etc\u00e9tera, etc\u00e9tera, etc\u00e9tera. \u00a0En muchas empresas, se aplic\u00f3 el t\u00e9rmino, \u201cApaga y v\u00e1monos<\/strong>\u201d. Aunque a algunos les pillo de vacaciones, o haciendo marketing<\/strong> con el gorrito puesto, echando balones fuera a los compis, haciendo teambuilding.<\/p>\n

Hace un par de d\u00edas, me compre un libro, en el sal\u00f3n de mi ciudad, \u201cBatallas del Mundo<\/a>\u201d (Militaria), por cierto bastante bueno, que explica de forma ilustrada todas las contiendas que han existido en la historia. Por qu\u00e9 digo esto, pues porque tendremos que empezar a acostumbrarnos desgraciadamente a otro tipo de \u201cguerras<\/strong>\u201d, estas se desarrollaran en la red, y los perjudicados ser\u00e1n tambi\u00e9n las personas<\/strong>. Y las batallas ocasionaran bajas, econ\u00f3micas y qui\u00e9n sabe si de otro tipo. Algunos expertos hablan de una guerra cibern\u00e9tica<\/strong> entre diversos pa\u00edses. Su nuevo campo de batalla, Internet<\/strong>. Un campo donde caben las emboscadas, las encerronas, la espera y donde cualquiera puede atacar<\/strong>.<\/p>\n

<\/p>\n

Y s\u00ed, este tipo de amenaza que cifra y que te pide que pagues<\/strong> cual banco sus deudas, \u00a0aunque no fuera Wannacry, sino Cerber, me ha afectado s\u00f3lo\u00a0profesionalmente<\/strong> en varios sistemas Windows Server, incluso que acostumbro actualizar de forma peri\u00f3dica<\/strong>.<\/p>\n

Cual presagio se cumpli\u00f3 lo que tuite\u00e9 hace unos a\u00f1os:
\nUn #sysadmin<\/a> es similar a un portero de f\u00fatbol, puede ser bueno o malo , pero como un hacker tire bien el penalti, el gol es seguro.<\/strong><\/p>\n

En este post os voy a intentar dar unos peque\u00f1os consejos, para \u201cevitar en la medida de lo posible<\/strong>\u201d ser contagiado por este poderoso virus, que hace llorar. Pero antes de nada os pondr\u00e9 en antecedentes de responsables y h\u00e9roes an\u00f3nimos<\/strong>.<\/p>\n

\"\"<\/a><\/p>\n

Este tipo de amenaza de cifrado de datos pidiendo rescate, se ha extendido como la p\u00f3lvora, y Wannacry ha sido la caja de pandora<\/strong> del Ransomware\u00a0<\/strong> y un potente gusano<\/strong> (worn) v\u00edrico de \u201cD\u00eda Zero<\/strong>\u201d. El pasado mes hemos asistido a uno de los mayores ataques globales realizados en la historia de Internet.\u00a0 Se han infectado miles de ordenadores, en diversos pa\u00edses,bla, bla entre ellos el m\u00edo, mostrando en las pantallas de los equipos afectados Windows mensajes generados por \u00a0un alarmante virus que cifra los datos, y pide a cambio un rescate en moneda virtual Bitcoin<\/strong>. De nada han servido en ciertos casos disponer de antivirus, ya que la vulnerabilidad era \u201cZero Day<\/strong>\u201d, es decir, que ni las propias casas de antivirus conoc\u00edan el tipo de ataque, ni el medio por el que entraba. De nada sirvi\u00f3 que las empresas fueran como el caso de Telef\u00f3nica \u201cpunteras<\/strong>\u201d en cuestiones de TI<\/strong>. Pod\u00edan haber estado tiempo minando dinero virtual, sin ser conscientes de ello y encima pensando el motivo de que las nuevas inversiones en hardware\u00a0 no ofrec\u00edan el rendimiento adecuado. Estaba behind de musgo.<\/p>\n

\"\"<\/a><\/p>\n

Me rasco el coco, y pienso; \u00bfPero qui\u00e9n es el culpable? <\/strong>y \u00bfC\u00f3mo se puede evitar ataques de este tipo?<\/strong><\/p>\n

La cuesti\u00f3n es compleja<\/strong>, y nadie esta exento de ser atacado, pero culpables hay y metodolog\u00edas y planes de contingencia deben ser aplicados en estos casos, pero es necesario creer, invertir, formar y actuar en base a posibles nuevos ataques.<\/p>\n

L\u00f3gicamente el principal responsable, es el agente del da\u00f1o, el grupo de criminales<\/strong> de origen desconocido actualmente, \u00a0aunque apuntan por la forma de programar, a un grupo de Corea del Norte<\/strong>, conocidos como Lazarus<\/strong>.<\/p>\n

Por partes.<\/p>\n

Por un lado un grupo de hackers conocidos como Shadow Brokers<\/strong>, robaron a la NSA la informaci\u00f3n necesaria donde se defin\u00eda el fallo de seguridad en los sistemas Windows<\/strong>. Esa informaci\u00f3n fue usada por los desconocidos hackers de sombrero negro o Black Hat<\/strong> (crackers), estos se aprovecharon del fallo detectado ya hace tiempo por la NSA<\/strong> y robado por Shadow Brokers.<\/p>\n

La NSA no notific\u00f3 del error a los de Redmond<\/strong> (Microsoft), pero s\u00ed el pirateo de sus algoritmos secretos, varios meses despu\u00e9s. \u00a0Era pues un fallo de seguridad Zero Day, conocido por los crackers, previamente la NSA, y alguna que otra mente inquieta que supiera el fallo.<\/p>\n

Es otro culpable, por aprovecharse de esta vulnerabilidad sin notificarlo a Microsoft, aun con buena intenci\u00f3n seg\u00fan ellos, \u00a0estos est\u00e1n muy indignados con la NSA. La NSA ha usado como excusa que el algoritmo no notificado era empleado para sus prop\u00f3sitos, en principio de lucha contra el crimen y terrorismo.<\/p>\n

Microsoft sac\u00f3 el parche antes, el d\u00eda 14 de Marzo<\/strong>. En este contexto, Microsoft culpa a la NSA que podr\u00eda haberse evitado el da\u00f1o causado. Pero en mi opini\u00f3n tampoco exime a Microsoft de su responsabilidad y fiabilidad en sus versiones de sistemas operativos. Ya que a diferencia de lo que err\u00f3neamente se pensaba, atacaba a todas las variantes no actualizadas, desde XP(no actualizado) hasta el reciente Windows 10<\/strong>.<\/p>\n

Finalizo, pensando que tambi\u00e9n la responsabilidad es de muchos usuarios y administradores, por no tener costumbre o desconocimiento de no\u00a0 actualizar sus sistemas operativos con las \u00faltimas versiones. Reconozco que en determinadas ocasiones, si el problema es de D\u00eda Zero, no hay nada que hacer, pero por lo menos no perder los h\u00e1bitos tanto de actualizar como de crear copias de seguridad<\/strong> para restaurar. Explicar\u00e9 luego que estas copias deben apartarse para evitar ser contagiadas.<\/p>\n

Por lo tanto, se puede entender que existen responsabilidades repartidas un poco entre todos en mayor y mejor grado, primero el no ser conscientes de lo que supone la seguridad inform\u00e1tica en todos los \u00e1mbitos, en\u00a0 un mundo digitalizado<\/strong>, globalizado y conectado las 24h a Internet.<\/p>\n

Otro gran culpable son los gobiernos<\/strong>, por su e-inoperancia (<\/strong>un t\u00e9rmino que creo) , falta de inversi\u00f3n e incomprensi\u00f3n<\/strong>, \u00a0ya que gracias a ataques como este, empiezan a ser verdaderamente conscientes de la importancia que cobra la seguridad<\/strong> de los datos y sistemas en la actualidad. Empiezan a entender que: es necesario invertir en personas y medios, generar cantera de expertos y apoyar en formaci\u00f3n<\/strong>.<\/p>\n

\u00bfH\u00e9roes?<\/strong><\/p>\n

Pues gracias a un joven brit\u00e1nico, y no es Marcelo, es\u00a0Marcos Hutchins<\/strong>, con s\u00f3lo 22 a\u00f1os decidi\u00f3 pasar a la historia por darse cuenta analizando el c\u00f3digo del Wannacry, de la existencia de un dominio<\/strong> extra\u00f1o que decidi\u00f3 registrar. El pago de 8 d\u00f3lares<\/strong> y su registro evit\u00f3 que el virus se propagase. El nombre en concreto parece del dominio para los curiosos no tiene desperdicio, no intent\u00e9is entenderlo.<\/p>\n

\"\"<\/a><\/p>\n

Eso si me ha costado teclearlo, pero es, es este peazo de chorizo de URL<\/p>\n

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com<\/a><\/p>\n

Si hac\u00e9is un whois<\/strong> ver\u00e9is que se encuentra registrado y protegido sus datos (l\u00f3gicamente) por la empresa WhoisGuard<\/strong> (http:\/\/www.whoisguard.com\/<\/a>)<\/p>\n

Gracias al inmediato registro, Wannacry no pudo seguir encriptando datos de los usuarios. Pero esto fue temporal, debido a que si no se actualizaban los sistemas, y con unas peque\u00f1as variaciones, Wanacry se podr\u00eda despertar de nuevo, pidiendo el doble de lo que ya ped\u00eda, ahora unos 600 Euros.<\/p>\n

Que se sepa o me han contado, los crackers s\u00f3lo han recaudado 100.000$ aproximadamente. Pero, lo peor puede estar por venir, puesto que este tipo de amenazas de tipo cero, pueden ser liberadas por diversos grupos de hackers. S\u00f3lo en el 2017 m\u00e1s de 200.000 nuevos troyanos ransomware se han detectado por empresas de antivirus<\/strong>. Y la infecci\u00f3n no s\u00f3lo se puede extender a ordenadores, sino a smartphones<\/strong>, SmartTvs, y dispositivos que tengan sistema operativo. Recordad que todo SO puede ser infectado, y no solo hay que ce\u00f1irlo al mundo de los ordenadores<\/strong>.<\/p>\n

Con la llegada de los S.O. e internet, hasta mi cafetera con su sistema no actualizado me puede pedir pasta al encenderla<\/strong>. Al tiempo ;.)<\/p>\n

Y es al menos un tanto extra\u00f1o, que a los pol\u00edticos del pa\u00eds, les tiemblen las canillas, y rocen lo c\u00f3mico en principio, cual proyecto de la agencia\u00a0TIA<\/strong>, se vayan a crear iniciativas del gobierno requieran reclutar ciber protectores digitales defensores del pa\u00eds<\/strong>, en caso de posible ataque. Vamos, lo que se dice estar en reserva, pero con el ordenador en el macuto. Preparare uno.<\/p>\n

\"\"<\/a><\/p>\n

Les recuerdo un dato importante, \u00a0no pierdan la perspectiva PREVIA y FUTURA<\/strong> de inversi\u00f3n en I+D+I<\/strong> \u00a0para estos aspectos y cuestiones de seguridad. Quid Pro Cuo, como Hannibal Lecter<\/strong>. Regulen por favor, \u00a0inversi\u00f3n a cambio de seguridad<\/strong> y profesionales.<\/p>\n

La LSSI, LOPD, pierden parte de su sentido, si entran como Pedro por su casa<\/strong>. Es preciso inversi\u00f3n en inspecciones de seguridad, en ISO 27000x<\/strong>, en auditoria<\/strong>, en formaci\u00f3n<\/strong>, regulaci\u00f3n<\/strong>, lo que sea que los EXPERTOS<\/strong> entiendan.<\/p>\n

En fin, os dejo los consejos para evitar en la medida de lo posible<\/strong> ser contagiado por el Ransomware.<\/p>\n

\n

Como una entrada de boxeo, donde t\u00fa eres peso pluma y te vas a pegar con el peso pesado Deontay Wilder<\/strong><\/p>\n

A la derecha, el m\u00e1s importante, ACTUALIZA<\/strong> al m\u00e1ximo tu sistema operativo, dalo m\u00e1s importancia a partir de ahora. Evita el pirateo, de SO.<\/p>\n

Pero actualiza, tambi\u00e9n las aplicaciones, tus navegadores, tus suites de seguridad y tus programas de trabajo. La actualizaci\u00f3n apl\u00edcatela para todo.<\/p>\n

A la izquierda el resto.<\/p>\n

Usa un antivirus “eficaz”<\/strong>. \u00a0Cerca de 400.000 fragmentos de c\u00f3digo da\u00f1ino o malware son liberados todos los d\u00edas. Una cada 0,4 segundos<\/strong>.<\/p>\n

No abras adjuntos desconocidos de los emails que te entren<\/strong>. Aseg\u00farate su procedencia, emplean ingenier\u00eda social para el enga\u00f1o<\/strong>.<\/p>\n

Crea tus copias de seguridad<\/strong> de forma regular, y separalas de los datos de trabajo. De esta forma evitamos que se infecten tambi\u00e9n. Si empleas maquinas virtuales, recuerda puedes hacer rolback en el tiempo.<\/p>\n

Si ya has sido infectado, recuerda NO pagar el rescate<\/strong>. El tema del bitcoin, es otro tema complejo que en principio no tiene nada que ver con el\u00a0 mundo del hacker, pero si es cierto que preserva anonimato del que solicita el pago.<\/p>\n

Existen utilidades para desencriptar<\/strong> los ficheros encriptados, os dejo una de Trend Micro, v\u00e1lida para Cerber, WannaCry, Locky, Crytolocker, …
\nhttps:\/\/success.trendmicro.com\/solution\/1114221-downloading-and-using-the-trend-micro-ransomware-file-decryptor<\/a><\/p>\n

No emplees una \u00fanica soluci\u00f3n de seguridad, en muchas ocasiones se pueden combinar sin problemas. Puedes emplear una soluci\u00f3n a mayores exclusivamente para el ransomware, os dejo 2:<\/p>\n

CrytoPevent Malware Prevention –\u00a0https:\/\/www.foolishit.com\/cryptoprevent-malware-prevention\/<\/a>
\nRamsonfree –\u00a0https:\/\/ransomfree.cybereason.com\/<\/a><\/p>\n

Si usas un smartphone sigue los mismos consejos, pero no instales apps de or\u00edgenes desconocido<\/strong>s.<\/p>\n

 <\/p>\n

Ya concluyo, ya. Por favor, que no empiece el combate, y si comienza que seguro lo har\u00e1, nos hemos estado entrenando, ganando peso para vencer el campeonato mundial. Y si no, si te duelen las meninges con todo este tema, puedes comprarte un terru\u00f1o, ponerte una gorra con una espiga de caja rural, y plantar unos tomatoides.<\/p>\n

\"\"<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Todos hemos o\u00eddo hablar en los medios de WannaCry. De la infecci\u00f3n de al menos 300.000 ordenadores repartidos en m\u00e1s de 150 pa\u00edses, entre ellos Espa\u00f1a. De los da\u00f1os econ\u00f3micos que ha causado el virus, de sus consecuencias en diversas instituciones algunas de ellas p\u00fablicas, de la impotencia generada y generalizada. De las p\u00e9rdidas de informaci\u00f3n y en alg\u00fan que otro caso, como en Reino Unido, hasta de posibles colapsos del sistema sanitario, operaciones canceladas, pacientes sin atender, etc\u00e9tera, etc\u00e9tera, etc\u00e9tera. \u00a0En muchas empresas, se aplic\u00f3 el t\u00e9rmino, \u201cApaga y v\u00e1monos\u201d. Aunque a algunos les pillo de vacaciones, o haciendo marketing con el gorrito puesto, echando balones fuera a los compis, haciendo teambuilding. Hace un par de d\u00edas, me compre un libro, en el sal\u00f3n de mi ciudad, \u201cBatallas del Mundo\u201d (Militaria), por cierto bastante bueno, que explica de forma ilustrada todas las contiendas que han existido en la historia. Por qu\u00e9 digo esto, pues porque tendremos que empezar a acostumbrarnos desgraciadamente a otro tipo de \u201cguerras\u201d, estas se desarrollaran en la red, y los perjudicados ser\u00e1n tambi\u00e9n las personas. Y las batallas ocasionaran bajas, econ\u00f3micas y qui\u00e9n sabe si de otro tipo. Algunos expertos hablan de una guerra cibern\u00e9tica entre diversos pa\u00edses. Su nuevo campo de batalla, Internet. Un campo donde caben las emboscadas, las encerronas, la espera y donde cualquiera puede atacar.<\/p>\n","protected":false},"author":1,"featured_media":4887,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[154,50,209],"tags":[2177,668,2176],"class_list":["post-9521","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-reflexiones","category-seguridad","category-sistemas","tag-ransomware","tag-seguridad","tag-wannacry"],"_links":{"self":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts\/9521","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/comments?post=9521"}],"version-history":[{"count":21,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts\/9521\/revisions"}],"predecessor-version":[{"id":9547,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts\/9521\/revisions\/9547"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/media\/4887"}],"wp:attachment":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/media?parent=9521"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/categories?post=9521"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/tags?post=9521"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}