En los últimos días se reportó una oleada de infecciones con ransomware en varias compañías y organizaciones de diferentes partes del mundo. Se trata del ransomware WannaCryptor, que se vale de cifrado para tomar “de rehén” información contenida en el sistema infectado.

Los primeros casos conocidos surgieron en el sector de telecomunicaciones de España, cuando el 85% de los equipos de Telefónica se infectaron, y luego pasó a afectar otras empresas a nivel nacional e internacional. A este reporte se sumaron casos en organizaciones del sector de la salud, sitios comerciales y todo tipo de redes en países de todo el mundo.

El ransomware (secuestro de información) es el término genérico para referirse a todo tipo de software malicioso que le exige al usuario del equipo el pago de un rescate. Desde ESET se desarrolló un video que muestra de manera simple su funcionamiento: ¿conoce qué es el ransomware y cómo puede protegerse?

Wannacryptor se ha podido ver en todo el mundo y, durante todo el fin de semana se han ido compartiendo fotografías de sistemas afectados como máquinas de escritorio, cajeros automáticos, paneles informativos o incluso paneles luminosos colocados en plena calle. La amenaza aprovecha una vulnerabilidad en sistemas operativos Windows a través de un exploit (llamado EternalBlue) filtrado de la NSA desde el año pasado. Para esta vulnerabilidad Microsoft lanzó un parche de actualización desde el mes de marzo y en los últimos días una actualización para las versiones XP y Vista, las cuales ya no tenían soporte por la empresa de Redmond.

En relación a los países involucrados, la región de EMEA (Europa, África y Oriente Medio) se observa como Rusia es claramente el país más afectado, al menos por una de las variantes más propagadas. En Latinoamérica los principales países afectados son Argentina, Chile, México, Brasil, Colombia y Ecuador.

Igualmente, la llegada del lunes ha supuesto una prueba de fuego para los especialistas en seguridad informática y administradores de sistemas de muchas empresas ya que algunos de los primeros incidentes identificados se produjeron en la zona de Asia, donde la empresa japonesa Hitachi también se vio afectada por estas variantes de WannaCryptor.

“No es difícil pensar en un malware que se propague de la misma forma y que, en lugar de alertar enseguida a sus víctimas mostrando una pantalla con un mensaje alarmante, permanezca oculto y se dedique a robar información de forma sigilosa o a destruirla en una fecha programada por los atacantes”, dijo Camilo Gutierrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

El costo de rescate que pide la amenaza es de 300 dólares en bitcoins. Respecto al dinero obtenido por los ciberdelincuentes, se analizaron las tres carteras de bitcoin que se pusieron a disposición de los afectados por el ransomware para realizar el pago de los rescates. A pesar de haber logrado infectar más de 200.000 sistemas al día de hoy habían recopilado un poco más de 50.000 dólares. De todas formas, a este monto las victimas deben sumarle el costo de la pérdida de productividad ocasionada por la infección y el daño a la reputación de la compañía que resulte perjudicada.

Los datos recopilados por el Laboratorio de Investigación de ESET Latinoamérica permiten cuantificar las nuevas variantes que de ransomware que aparecieron en el último momento. Se elaboró un gráfico que muestra la evolución de WannaCryptor desde su aparición el pasado viernes 12 de mayo hasta esta mañana.

La mayor parte de detecciones se realizó durante el viernes y el sábado. Todo apunta a que la situación está siendo controlada, en algunas regiones mejor que en otras, y que, salvo la aparición de alguna nueva variante con cambios significativos las infecciones tenderán a remitir.

“No obstante, este incidente debe servir como una importante llamada de atención para mejorar muchos aspectos relacionadas con la ciberseguridad en las empresas. En definitiva, se trata de mantenerse en alerta y aplicar buenas prácticas de seguridad sin caer en la desesperación, y tal como siempre recomendamos: en caso de ser víctima, no acceder al pago solicitado por los atacantes ya que no solo no está garantizado que vayan a devolver el acceso a los archivos, sino que esta práctica alienta a que se continúen realizando este tipo de ataques”, concluyó Gutierrez.

Lo importante ante esta situación es seguir las recomendaciones de seguridad, desde ESET Latinoamérica se brindan las siguientes:

1. Actualizar los sistemas operativos y aplicaciones a la última versión disponible. En caso de contar con una red, asegurarse de que todos los equipos cuenten con los parches de seguridad aplicados.
2. No ejecutar archivos de dudosa procedencia que podrían llegar como adjuntos en correos electrónicos. Esta recomendación también aplica en caso de recibir un correo sospechoso por parte de un contacto conocido.
3. Mantener actualizadas las soluciones de seguridad para poder optimizar la detección de estas amenazas
4. Realizar backups periódicos de la información relevante.
5. En caso de que se trate de una empresa, también es recomendable dar aviso a los empleados de que estén alertas frente a esta amenaza y que no ejecuten archivos de procedencia sospechosa.

Por su parte, Leonardo Carissimi, director de Soluciones de Seguridad de Unisys en Latinoamérica, comparte 7 lecciones que debemos aprender de WannaCry:

1. Crecimiento de las amenazas cibernéticas: las amenazas crecen en términos de magnitud y agresividad. Con la creciente conectividad, cada nueva amenaza tiene el potencial de infectar a más equipos.
2. La ciberdelincuencia está creciendo: esta nueva amenaza también nos recuerda que la ciberdelincuencia está creciendo, ya que cada vez más las amenazas tienen una motivación financiera. Ellas se tornan más peligrosas porque las organizaciones criminales que las orquestan tienen cada vez más recursos. Pueden desarrollar “armas” sofisticadas y actuar globalmente con ellas.
3. Impacto real en los negocios: se volvieron comunes durante los últimos días noticias de empresas que fueron contaminadas y tuvieron que pagar por el rescate. Otras, decidieron desconectar los equipos. En los dos casos, se torna claro el impacto en términos de costo (sea por el pago del rescate o, peor, por la pérdida de productividad).
4. La prevención es fundamental y comienza con pequeñas cosas: la vulnerabilidad es conocida hace por lo menos dos meses, cuando Microsoft publicó un boletín recomendando la actualización de los sistemas Windows para corregirla. Un trabajo de Gestión de Patchs, complementado con Gestión de Vulnerabilidades, habría evitado ese dolor de cabeza. Realizar copias de seguridad frecuentemente es otra práctica bastante común que ayuda en situaciones de ransomware. Son conceptos sencillos, pero que necesitan ser realizados de forma consistente, con procesos, herramientas y personal entrenado.
5. Microsegmentar la red: la utilización de herramientas para la microsegmentación reduce los estragos. Al aislar sistemas por microsegmentos, el movimiento lateral realizado por el malware se contiene, y él no contamina una gran cantidad de equipos en red. Opte por la microsegmentación por software, enfocándose inicialmente en sistemas más críticos. Eso permitirá la adopción rápida, sin impacto en la arquitectura de la red y con reducción de costos. A mediano y largo plazo, la técnica aumentará la seguridad y permitirá la simplificación de la red al reducir la complejidad de firewalls internos y segmentación vía VLANs.
6. Monitoreo de comportamiento de malware: en todo momento surgirán nuevas amenazas, las cuales serán desconocidas para las herramientas tradicionales de seguridad que trabajan con firmas y estándares de malware conocidos. La utilización de herramientas de corrección de eventos es un control necesario, pero no es suficiente. Prepararse para el malware nuevo requiere de un SOC (Centro de Operaciones de Seguridad) más inteligente, que identifique comportamientos anómalos incluso cuando se presente un ataque nuevo con firma desconocida. En el caso de WannaCry, la comunicación mediante la puerta de SMB, el comportamiento de moverse lateralmente dentro de la red, y la dirección de su “maestro” que intenta contactar, son indicios típicos de que algo extraño está sucediendo y que permitirán a un SOC inteligente detectar la nueva amenaza a tiempo.
7. Respuesta a incidentes: una vez detectada la nueva amenaza, se requiere de una rápida respuesta. Las respuestas automáticas o manuales podrían bloquear el tráfico sospechoso y eliminar de la red a los equipos contaminados. La utilización de una Arquitectura de Seguridad Adaptable es recomendada para responder de modo dinámico, cambiando la arquitectura de subredes a la medida en que las contaminaciones sean identificadas. Un ejemplo es colocar en cuarentena los equipos contaminados y evitar que los mismos contaminen a otros.

Por otro lado, el Lic. Javier J. Vallejos Martínez, profesor de Seguridad Ofensiva y de Seguridad Web Aplicada de la Facultad de Ingeniería de la Universidad de Palermo, hizo un comentario sobre el masivo hackeo mundial “WannaCry o WNCRY que comenzó el viernes:

El gran incidente de seguridad ocurrido la semana pasada, al cual se le dio el nombre de WNCRY, nos demuestra que aún falta mucho a nivel mundial en el campo de la ciberseguridad. Dentro de este acontecimiento se han dado distintas cuestiones, ha pasado desde la ciberinteligencia, robo de herramientas informáticas, disclosure de las mismas, falta de políticas de Seguridad y falta de concientización al personal en materia de ciberseguridad.

Arranca todo en el campo de la ciberinteligencia, ya que una de las herramientas utilizadas en el ataque le pertenecía a la NSA y permite explotar una vulnerabilidad sobre sistemas operativos Microsoft Windows (un tema a tener en cuenta, es que Microsoft ha sacado un parche, por el mes de Marzo, para corregir esta vulnerabilidad) ¿Por qué la NSA disponía de esta herramienta? Con el fin de hacer ciberinteligencia. Pero resulta ser que un grupo denominado The Shadow Brokers (TSB) robó esta y muchas otras tools a la mismísima NSA. Primero las pusieron en venta y posteriormente las publicaron de forma gratuita.

Dentro de las herramientas sustraídas se encuentra una llamada EternalBlue y fue dicha tool la utilizada en parte para llevar a cabo el reciente ataque. En una primera instancia el Malware ingresa a la organización por medio de una técnica de Phishing y es por esta razón que al principio hablamos sobre la falta de concientización al personal en materia de Seguridad Informática. Con gente capacitada, esto no hubiese ocurrido. Al menos, no con esta técnica.

Una vez que el malware ingresaba por medio del correo electrónico, el mismo cifraba contenido del equipo y, posteriormente, utilizando un motor de búsqueda encontraban dentro de la red del equipo infectado otras máquinas vulnerables y con el exploit denominado EternalBlue podían propagarse de dispositivo en dispositivo. En este caso debemos hablar de una mala política de Gestión de Parches en la organización, si en Marzo Microsoft sacó el parche para corregir la vulnerabilidad y al tratarse de una vulnerabilidad crítica se debería haber tomado la cuestión con la seriedad que merece.

Si la NSA no tuviese este tipo de herramientas, si el grupo TSB no hubiese robado y publicado EternalBlue, si las empresas adoptasen una política de Gestión de Parches adecuada y si estas mismas organizaciones capacitaran a su personal cotidianamente en cuestiones de ciberseguridad hoy no estaríamos hablando de WNCRY pero pensar en estas cuestiones parece algo utópico. En el campo de la ciberseguridad se sabe que no se puede estar 100% seguro pero sí podemos acercarnos. No podremos evitar que entidades gubernamentales no vigilen, ni que existan grupos de ciberatacantes o ciberterrorismo pero sí podemos pensar en una política adecuada de ciberseguridad para nuestra organización, en donde la Gestión de Parches y la Concientización sí sean parte.

Kaspersky Lab también hizo declaraciones acerca del ataque WannaCry:

El 12 de mayo, un ataque de ransomware masivo fue desencadenado, afectando a organizaciones de todo el mundo. Los investigadores de Kaspersky Lab han analizado los datos y pueden confirmar que los subsistemas de protección de la compañía detectaron al menos 45.000 intentos de infección en 74 países, la mayoría de ellos en Rusia.

Este ransomware infecta a las víctimas explotando una vulnerabilidad de Microsoft Windows descrita y corregida en el Boletín de Seguridad de Microsoft MS17-010. El exploit utilizado, “Eternal Blue”, fue revelado por Shadowbrokers el 14 de abril. Una vez dentro del sistema, los atacantes instalan un rootkit, que les permite descargar el software para cifrar los datos. El malware cifra los archivos. Una solicitud de u$s 600 en Bitcoin se muestra junto a una billetera y la demanda de rescate aumenta con el tiempo.

Los expertos de Kaspersky Lab están actualmente tratando de determinar si es posible descifrar los datos bloqueados en este ataque con el objetivo de desarrollar una herramienta de descifrado tan pronto como sea posible.

Las soluciones de seguridad de Kaspersky Lab detectan el malware utilizado en este ataque por los siguientes nombres de detección:

1. Trojan-Ransom.Win32.Scatter.uf
2. Trojan-Ransom.Win32.Scatter.tr
3. Trojan-Ransom.Win32.Fury.fr
4. Trojan-Ransom.Win32.Gen.djd
5. Trojan-Ransom.Win32.Wanna.b
6. Trojan-Ransom.Win32.Wanna.c
7. Trojan-Ransom.Win32.Wanna.d
8. Trojan-Ransom.Win32.Wanna.f
9. Trojan-Ransom.Win32.Zapchast.i
10. Trojan.Win64.EquationDrug.gen
11. Trojan.Win32.Generic (el componente System Watcher del sistema debe estar habilitado)

Kaspersky Lab recomienda tomar las siguientes medidas para reducir el riesgo de infección:

1. Instale el parche oficial de Microsoft que cierra la vulnerabilidad utilizada en el ataque
2. Asegúrese de que las soluciones de seguridad estén habilitadas en todos los nodos de la red
3. Si utiliza la solución de Kaspersky Lab, asegúrese de que incluya el System Watcher, un componente de detección proactivo de comportamiento y que esté habilitado
4. Ejecute el Scan de Área Critica en la solución de Kaspersky Lab para detectar una posible infección lo antes posible (de lo contrario, se detectará automáticamente dentro de 24 horas, si no se deshabilita).
5. Reinicie el sistema después de detectar MEM: Trojan.Win64.EquationDrug.gen
6. Utilice los servicios de Reportes de Inteligencia de Amenazas específicos para clientes

Finalmente, Avast observa que este ataque a gran escala del ransomware WanaCrypt0r 2.0 (conocido como WCry), supera ampliamente los de 57.000 casos detectados hasta ahora. Según los datos recolectados, el ciberataque está dirigido principalmente a Rusia, Ucrania y Taiwán, pero ha logrado infectar también instituciones muy importantes, como muchos hospitales en Inglaterra y la empresa de telecomunicaciones española Telefónica.

El siguiente mapa muestra los países más afectados por el WanaCrpytor 2.0:

La primera versión del virus WanaCrypt0r apareció en febrero, y ahora está disponible en 28 idiomas, desde el búlgaro hasta el vietnamita.

El ransomware cambia la extensión del archivo afectado a “.WNCRY”, de modo que un archivo infectado se verá, por ejemplo, así: nombre_original_del_archivo.jpg.WNCRY. Los archivos cifrados también están marcados con la cadena “WANACRY!” al comienzo del archivo.

El ransomware despliega el siguiente mensaje en un archivo de texto:

El rescate exigido es de u$s 300 en bitcoins. El mensaje con instrucciones para pagar el rescate, una explicación de lo ocurrido y un temporizador regresivo se muestra en lo que los ciberdelincuentes responsables del ataque denominan “Wana Decrypt0r 2.0”:

Además, el fondo de pantalla de la víctima muestra la siguiente imagen:

Este ataque demuestra una vez más que el ransomware es un arma poderosa que se puede usar tanto contra consumidores como contra empresas. Se torna particularmente dañino cuando infecta instituciones como los hospitales, donde se pone en riesgo la vida de los pacientes.

Vector de infección: WanaCrypt0r 2.0

Lo más probable es que el WanaCrypt0r 2.0 se propague a tantas computadoras por una vulnerabilidad de Equation Group, un grupo sospechado de hacer el trabajo sucio de la Agencia Nacional de Seguridad (NSA) de los EE. UU. Un grupo hacker llamado ShadowBrokers robó las herramientas de hackeo y las ha difundido públicamente.

Según confirmó el investigador de seguridad, Kafeine, la vulnerabilidad, conocida como ETERNALBLUE o MS17-010, fue lo que probablemente usaron los ciberdelincuentes responsables del ataque WanaCrypt0r, y constituye una vulnerabiliad de Windows SMB (Server Message Block, un protocolo de red para el uso compartido de archivos).

Avast detecta todas las versiones nuevas de WanaCrypt0r 2.0, pero recomendamos encarecidamente que los usuarios actualicen los sistemas con los últimos parches disponibles. Continuaremos monitoreando este ataque y actualizaremos el blog cuando tengamos más novedades.