WannaCry: qué conocemos hasta ahora

Kevin Magee, Global Security Strategist en Gigamon

Hoy, más de 75.000 sistemas en más de 100 países han reportado estar infectados, y con mayor incidencia en los sistemas operativos de la empresa Telefónica en España, el servicio nacional de salud(NHS) en Reino Unido y FedEx (en sus operaciones de países europeos, entre ellos Rusia, de los más afectados).

Aunque su propagación ha perdido velocidad, no puede creerse que se ha detenido. Basado en datos provenientes de MalwareTec, el New York Times ha compilado un mapa interactivo, mostrando que tan rápido WannaCry ha diseminado, ciertamente esto abrió los ojos a aquellos que consideraban la ciberseguridad como un problema molesto, en lugar de un riesgo potencial.

Una de las primeras organizaciones que reportó el ataque fue la NHS en Reino Unido, donde aún sus equipos de seguridad continúan trabajando contra reloj para restaurar los sistemas en más de 45 hospitales en Inglaterra y Escocia. Increíblemente peligroso, el ataque puso en riesgo la seguridad de los pacientes al dejar a hospitales y doctores sin acceso a los expedientes de los pacientes, esto llevo a la cancelación de operaciones y citas médicas.

Desde la cuenta de Twitter del NHS, el East Kent Hospital envió un mensaje a todo su personal, indicándoles que el ransomware pudo haber atacado por un email con el título "Clinical Results" Si esto es cierto, parece que los hospitales fueron especialmente dirigidos.

Entretanto esto es discutido, el NHS recibió la mayor presión de la prensa el viernes, debido al momento en que ocurrió el ataque (justo por la mañana en el Reino Unido), WannaCry se esparció rápidamente y no solo con otras organizaciones alrededor del mundo, también a otros dispositivos y sistemas mucho más allá de las estaciones de trabajo. En Alemania, por ejemplo, un operador del tren Deutsche Bahn, dijo que mientras el ataque no interrumpía los servicios del tren, tampoco estaban infectados los sistemas como el de los monitores de la estación.

¿Cómo trabaja WannaCry y porqué este ataque?

Mientras esta variante de ransomware es un remolino mundial, la manera en que infectó los sistemas y cómo se esparció rápidamente es única. Muchos tipos de ransomware dependen que un usuario le dé clic a un link malicioso, a un archivo adjunto de phishing enviado por email; para infectar una computadora. En tanto que los cibercriminales puedan poner miles o millones de estos emails por día, la efectividad de infección seguirá dependiendo de un usuario final, que sin quererlo se convierte en cómplice involuntario, y desencadenar el ataque. Esta técnica increíblemente seguirá, ha demostrado ser efectiva, pero limitante en su capacidad con que el ransomware que se expande, se esparcirá tanto como cada usuario individualmente caiga en la trampa. No solo con WannaCry.

Esto es solo un ejemplo de cómo WannaCry infectó una PC con firewall, pudo moverse lateralmente por las redes y propagarse a otros sistemas. El análisis inicial de los investigadores en seguridad, indica que esto pudo hacerse al: escanear e identificar sistemas con puertos abiertos 139 y 445, observando las conexiones entrantes y explorando arduamente los puertos TCP 445 (Servidores de mensajes bloqueados, SMB), los cuales permiten expandir el malware internamente de manera similar a un gusano. El gusano entonces se enrolla en cada sesión RDP en un sistema y ejecuta el ransomware como usuario administrador de cuentas. Esto también instala el DOUBLEPULSAR en la puerta trasera y corrompe los volúmenes de tráfico para hacer la recuperación mucho más difícil. WannaCry hará esto cuando la PC esté abierta y no tenga la actualización MS-17-1010 de Microsoft, lanzada el pasado 14 de marzo, que cubre vulnerabilidades de SMBv1 (Microsoft no menciono SMBv2). Las maquinas con Windows 10, con este parche, no fueron afectadas y por lo tanto no corren el riesgo que este malware se propague en ellas. Adicionalmente, Talos ha observado como WannaCry explota su DOUBLEPULSAR, un persiste backdoor, generalmente usando el acceso y ejecutando el código en sistemas previamente comprometidos, así como en documentos que rompen la ofensiva contra framework eliminado como parte del Shadow Brokers cache. 

¿Qué pasa con los sistemas infectados?

Una vez que el ransomware infecto el sistema, este comienza a encriptar cualquier cosa que encuentra. El archivo taskche.exe, busca drives tanto internos como externos buscando letras como "c:/" or "d:/", una vez encontrados pueden ser también afectados. Cuando encuentran los archivos de interés, estos son encriptados usando 2048-bit RSA encryption ¿qué tan bien cifrado esta lo encriptado? Bueno, DigiCert post calculó que esto podría tomar 1.5 millones de años con las maquinas actuales y estándar procesando ininterrumpidamente.

Los usuarios recibieron la notificación en su pantalla demandándoles $ 300 en Bitcoin para devolverle sus archivos y restaurar su sistema, de no ser pagado el rescate, los archivos podrían ser removidos permanentemente y el acceso continuar restringido. En algunas otras pantallas se mostraba, si no se paga en 6 horas el rescate, entonces el costo podría subir a $ 600, y en otras indicaba que el usuario tenía 3 días para el pago. Esto es molesto, y crea la sensación de urgencia para el usuario que debe pagar o enfrentar el costoso riesgo de perder toda su información. Una sensación de esperanza es también inculcada a proveer la habilidad de descifrar una pequeña cantidad de archivos, intentando demostrarle al usuario que, si ellos cooperan con la extorsión y el pago del rescate, ellos podrán tener acceso a sus archivos de nuevo.

Cabe señalar que los criminales detrás de los ataques no tienen obligación alguna de proporcionar las claves de descifrado. Pagar el rescate puede no devolver el acceso al sistema ni la recuperación de sus archivos. Aún más, pagar el rescate no solo deja al usuario etiquetado para futuras extorciones, esto también ayuda a incentivar a los criminales que irrumpieron y estos mismos desarrollen más y cada vez más sofisticados ataques.

¿Por qué se expandió lentamente: el kill switch?

Talos observó oportunamente en su investigación que el ataque WannaCry, fue enviado desde el dominioiuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, ¿cómo un humano generó un dominio con caracteres tan largos, usando solo teclas de la parte superior del teclado? Este patrón es generalmente el resultado de alguna maceración del teclado y fácilmente identificable por los investigadores en seguridad.

Entonces, si WannaCry puede comunicarse desde este dominio, este puede detenerse y no infectar el Sistema. Como este dominio no fue registrado, cada infectado pudo intentar comunicarse, pero no logró llegar al dominio, continuó ejecutándose e infectar la PC. El ransomware, comienza habilitando la comunicación con un dominio especifico, este puede detener el dominio registrado, pareciera como un interruptor listo para matar. Esto es altamente inusual y parece estar codificado internamente al malware por el creador en el caso de él o creadora si es ella, o ellos buscan detener el avance del ataque.

Un astuto investigador de seguridad, @malwaretechblog, con ayuda de Darien Huss, de la firma en ciberseguridad Proofpoint, fundo el archive de kill switch donde simplemente se registraban los dominios.

Vi que no estaba registrado, y pensé tendré que registrarlo dice MalwareTech, esto le costó $10.69, inmediatamente registrado el nombre del dominio desconectó a cientos en segundos.

Aunque parece casi anti-climactic, el kill switch parece haber trabajado y está retrasando la expansión de infecciones. Desafortunadamente, es probable que tengamos replicas, que los copycats ya están trabajando, con variaciones del ataque y con los malos en todas partes aprendiendo mucho de este ataque, con seguridad podemos esperar nuevas variantes y modificaciones al ataque pronto.

Cuando el gusano Conficker estaba corriendo desenfrenadamente y creando una enorme botnet en 2008, un investigador de seguridad encontró similitudes en llamadas hechas a casa con nombres aleatorios generando nombres de dominio al azar para las instrucciones de Comando y Control. Él fue capaz de limitar la capacidad de Conficker de ejecutar cualquier comando, registrando todos los nombres del dominio. Las variantes A y B de Conficker se descargan diariamente desde cualquiera de los 250 dominios pseudoaleatorios. Mientras se registraban 250 dominios en un día, esto se estaba encareciendo y consumiendo mucho tiempo, pero fue todavía posible para los defensores, reconocidos conjuntamente como "Conflicker Cabal", se mantenían delante del atacante.

Esta estrategia se desmoronó cuando el atacante lanzó Variant C, que descargaba diariamente desde 500 a 50.000 dominios pseudoaleatorios.  Indudablemente esparemos variantes futuras de WannaCry y los copycats emplearán un enfoque similar, que demuestre que el registro de un simple kill switch no será eficaz por siempre.

¿Y ahora qué sigue?

Recomendaciones:

1. Asegúrese que todos las PCs, con Windows anterior a Windows 10 y las que tengan Windows 10, tengan el parche instalado; todas deben estar aseguradas.
2. Asegúrese que Microsoft bulletin MS17-010 ha sido aplicado.
3. El acceso a internet SMB usando los puertos 139, 445 debe estar debidamente bloqueados para prevenir trafico intruso.
4. Bloqueé todos los TOR exit node IP addresses al firewall. Estos generalmente están disponibles para alimentar la seguridad inteligentemente 
5. Si por alguna razón usted no puede parchar sus dispositivos (médicos o de otros sistemas de arquitectura) asegúrese de deshabilitar SMBv1.

Prevenciones

1. Asegúrese que ha corrido la última actualización de sus sistemas operativos en todos sus dispositivos no solo en las PCs.
2. Tenga un sistema de mantenimiento de parches para sus sistemas en lugar de esperar a que el vendedor los aplique a cada punto final de una manera oportuna.
3. Instale algún tipo de protección en sus puntos finales para anti-malware en todos sus sistemas y asegúrese de aplicar las actualizaciones en forma periódica.
4. Tener solo actualizados sus firewalls y protección en sus puntos finales no es suficiente. Este ataque se movió lateralmente al firewall, esto quiere decir que, de punto a punto en toda la red debe tenerse visibilidad y herramientas de seguridad que puedan detectar, prevenir y mitigar ataques físicos, virtuales, así como en los sistemas albergados en la nube.
5. Asegúrese no solo de tener un plan de recuperación para el negocio, tenga planes de desastre y recuperación para otros procesos, probados regularmente.
6. Resguarde todo, y asegúrese de que usted los tenga apagados, para no llamar la atención de los atacantes, que tengan además sus respaldos incrementa las posibilidades de pagar el rescate.
7. ¡Entrene a sus usuarios! Sus empleados deben recibir ambos entrenamientos tanto para que los ayuden a identificar y reportar amenazas como la seguridad tradicional, el entrenamiento en seguridad les ayudará a cooperar con las organizaciones de seguridad así como mejorar sus procedimientos.