Punto Net Tech

Punto Net Tech
Servicios Corporativos de Ciberseguridad - IT - DBA

sábado, 13 de mayo de 2017

Ransomware : "A mi no Wanna..."

Introducción
Cuando leí el nombre con el cual se había catalogado al Ransomware que afectó a más de 75 países y puso en jaque a varias compañías, me vino a la mente un viejo chiste en donde un cazador comentaba que cazó 3 leones, un leopardo y 2 "a mi no wana" (eran indios de la selva que se estaban escondido detrás de unos arbustos y gritaban eso cuando el cazador les disparaba); y si, pensaba, "a mi no Wanna Decryptor".... (más de un Responsable de Sistemas debe haber rogado por lo mismo...)

Un día ocurrió
Hace un tiempo venimos hablando de los Ransomware y que los ataques van ir escalando a menos que se logre resolver algunos puntos que trataremos en el artículo. Por ahora vamos a ver que ocurrió en la siguiente cronología usando información que fuimos observando en las redes sociales y que de alguna manera fue anunciando con mayor agilidad que los medios periodísticos lo que ocurría en el mundo.

- 2:30 Terminé de escribir mi articulo del Blog y me fui a dormir con una sensación que al otro día iba a ser movido, por algunos Twitter que había observado.
- 7:30 de la mañana observo el Twitter como todas las mañanas y se lee que Telefónica de España estaba afectada por un Ransomware. No se sabía que era, impacto y que estaba ocurriendo.
- 8:30 Ya el Twitter era un conventillo, ya que muchos opinaban por algo que se desconocía y le pegaban al Chema Alonso por que se le había escapado la tortuga.
- 9:30 Empezó a observarse en Twitter que comentaban que  ciertos hospitales de Inglaterra también habían sido afectados.
- 10:30 El Twitter y Facebook era una caldera. Me pasan el audio que teóricamente se había utilizado en Telefónica en donde le piden a los usuarios que apaguen sus equipos. Con este anuncio pensé, la cosa viene mas que complicada y vamos a tener que estar atentos. Mientras tanto mandábamos algunos Twitter para mantener a los seguidores informados.
- 11:00 El bitcoins llegaba a los U$S 1813,51.
- 11:15 De ElevenPaths (área Seguridad de Telefónica), publicaban noticias como estas "seguridad en Android de Google" y nada decían de lo que estaba ocurriendo en Telefónica.
- 11:30 Algunos seguidores compartieron el link que habíamos escrito la noche anterior, opacado por el Ransomware y el impacto que estaba teniendo en el mundo.
- 12:00 Los diarios de España se hacen eco de problema de Telefónica.
- 12:00 Caen unos puntos las acciones de Telefónica.
- 12:00 Ya el Ransomware tiene nombre y apellido "Wanna Decryptor o WannaCrypt".
- 12:30 Empezamos a notificar a nuestros clientes y amigos sobre el problema y como evitarlo.
- 13:30 El ransomware que atacó a Telefónica se propaga: WanaCrypt0r deja KO varios hospitales en UK.
- 13:30 36,000 detecciones contando Russia, Ucrania y Taiwan. A medida que la cosa se expandía era como imaginarse "Juegos de Guerra" y ver como evitar ser una víctima. Ya no era una epidemia, si no una PANDEMIA.
- 14:00 Se anuncia que con la actualización que publicara Microsoft en Marzo (MS17-010), la epidemia en las empresas se podría haber evitado.  Una vez más se denota que Operaciones o el área responsable de las empresas de mantener los S.O. actualizados se había quedado dormido. Es cierto que no en todas las compañìas se puede actualizar todo constantemente por que muchas veces ocurren que las actualizaciones poseen fallos o bien su aplicación terminan afectando la funcionalidad de alguna aplicacion en el puesto de trabajo o servidor. En este caso, una vulnerabilidad del SMB de Microsoft afectó y por primera vez vemos que un Ransomware se propaga como lo hacían los viejos virus. El link del boletín de Microsoft esta aquí y sugerimos aplicarlo. Ojo, la actulización corrige el problema de Ms Windows para que no se difunda el Ransomware, pero NO evita su infección.
- 14:10 Anuncio del CN-CERT con información importante de lo que estaba ocurriendo y como mitigarlo. Se puede encontrar aquí el artículo.
- 15:00 Nuestros clientes y amigos ya tenían ajustadas sus plataformas, ahora a cruzar los dedos y esperar que no ocurra nada.
- 15:30 Noticias de empresas Chilenas afectadas por el Ransomware.
- 16:00 Algunas empresas en Argentina ya empezaban a tener problemas con el Ransomware. En el silencio de la tarde de un viernes, se escuchaba por los centros de cómputos "... a mi no Wana...."
- 18:00 Cada vez mas empresas y países afectados.
- 20:00 Llegan noticias de empresas de Córdoba, como call center y comunicaciones que tenían el Ransomware, algunas pudieron contenerlo otras no.
- 20:30 Reportaje para el diario MZA Radio y hablando de lo que ocurrió en el día.
- 21:00 Observando el mapa mundo de infecciones, todo estaba iluminado, más de 75 paises afectados y el día no habia terminado. Llegan WhatsApp a mi teléfono preguntando si teníamos más noticias, si todo lo que se había configurado en las empresas era suficiente y que podíamos esperar a la noche (muchos no durmieron bien anoche).
- 21:00 Todos los medios (TV y Radio) con noticias del impacto que tuvo en el día semejante ataque a nivel global.
- 23:00 Empieza la calma o el suspenso, Twitter empieza a repetir noticias, algunas empresas ya no reportan sus infecciones y de a poco comienza la calma.

Nos vamos a dormir, al otro día

06:30 Chema Alonso publica un excelente artículo y da su visión de lo que ocurrió a Telefónica de España.  Luego de eso no publica más nada, pero en el artículo está todo dicho. Sugiero que lo lean AQUI.
7:30 Noticias de más empresas afectadas, en este caso : Nissan's Sunderland.
8:30 Revisando la tapas de los diarios, vemos con asombro que la gran mayoría puso la noticia en su tapa.

 9:30 Intento prepararme para el día, afuera llovizna,  algunos WhatsApp consultando si tenía novedades y otros preguntando si prendían las PCs. La calma quería adueñarse del día.
10:00 Desayunando observo que aparecen nuevas empresas infectadas, como Renault y una empresa alemana de trenes.
11:00 Una noticia bomba, imaginada para estos tiempos. Microsoft lanza actualización para el S.O. Windows XP, siendo que el mismo ya hace un par de años que no cuenta con soporte. Pueden bajar el boletín de seguridad AQUI. Gracias Microsoft!!
12:00 El valor promedio del bitcoin es de  U$S 1722.95.
13:00 Las redes sociales vuelven a la calma y el Wanna Decryptor va desapareciendo entre otros Twitts que aparecen en la pantalla.

Por que pasó
Muy simple, conjunción de un usuario que abrió un link que le llegó en un correo (en las empresas que poseen antispam, algo falló y el usuario no estaba capacitado para no abrir links que fueran dudosos, sumando que el URL Filtering si existía no bloqueó el acceso y en antivirus no detectó el malware), con el link del malware que se bajó ejecutó (por intervención del usuario) y aprovechó una vulnerabilidad existente en el S.O (se sabía de la vulnerabilidad desde diciembre/16 y Microsoft en marzo/2017 publicó el boletín con la actualización) provocó una epidemia en las redes locales de las empresas.
Si observan las palabras en negrita, fíjense todas las cosas que debía sortear el Ransomware para infectar el equipo, son muchas, esto es preocupante, ya que hay muchas compañias que siguen administrando plataformas como se viene haciendo hace 10 años atrás. Las amenzas han mutado, es hora que pongamos manos a la obra!!!
Les recuerdo que estos son pasos de mitigación, la seguridad 100% no esta garantizada. Recomendamos para la Organizaciones, realizar Gestión de Riesgo en sus procesos críticos de negocio....

Como evitarlo
Como menciono arriba, el vector de infeción fue el correo electrónico, por lo cual hay que empezar a tomar medidas. Si a nuestra casa llega un sobre dudoso no lo abrimos de primera instancia, es hora de cambiar la forma que se usa la tecnología, hay que ser DESCONFIADO. Si revisan nuestro blog, cada artículo termina con las recomendaciones de protección. Les recomiendo leer este artículo RANSOMWARE - PARTE V - RECOMENDACIONES A EMPRESA y para los usuarios en sus casas puede aplicar estas recomendaciones RANSOMWARE - PARTE IV - RECOMENDACIONES A USUARIOS

Van por más
Hace veinte días observamos un ataque masivo a puertos RDP e infecciones con Dharma y Crysis, ayer con Wana Decryptor y que observamos:

- Nadie fue detenido.
- Las empresas sufrieron un impacto importante (aquellas que fueron afectadas).
- Con el primer Ransomware hicieron muy buenos bitcoins, no así con el segundo, ya que solo hicieron un poco mas de 16 Bitcoins.
- El bitcoins sigue subiendo su precio.

No es de extrañar, que mientras Uds lee este artículo, ya se este preparando una nueva oleada de ataque para dejar fuera de linea a más empresas y si, deban pagar para ponerlas on-line. Allí se tendrán que preguntar, de quien es entonces la información. No dejen de leer las recomendaciones de la PARTE V en donde les indico como protegerse.

Moraleja
No dejes para mañana lo que puedas hacer hoy...

Hasta la próxima.












1 comentario:

Osky dijo...

Muy buen articulo Quique, voy a reenviarlo a los que toman las decisiones. A ver si con esto se convencen. Un abrazo.