Un ciberataque mundial crea el pánico en las organizaciones. Se utiliza un ransomware que se distribuye por las redes a través de una vulnerabilidad de Windows parcheada en marzo por Microsoft.
El viernes pasado, 12 de mayo de 2017, saltaron todas las alarmas por un ciberataque mundial que a lo largo de estos días ha afectado a organizaciones de más de 150 países. La manera tan rápida de distribuirse y hacerlo sobre equipos que no contaban con las últimas actualizaciones de Windows crea un debate sobre el procedimiento de actualizaciones por parte de las organizaciones. Por ende, esto demuestra que cualquier organización, en todo momento, está expuesta a ciberamenazas que pueden causar un impacto crítico sobre sus activos.
¿Qué es un ransomware?
Un ransomware es un tipo de malware cifra los archivos de los dispositivos de las víctimas y pide un rescate (normalmente en Bitcoins) afirmando que si se realiza el pago se descifrarán los archivos y volverán a su estado normal.
¿Cuál es el ransomware implicado de este ciberataque?
El ransomware implicado en este ciberataque es conocido como Wannacry, WannaCrypt, WCrypt o WCry, entre otras denominaciones.
¿Cómo se infectan los equipos?
Aunque no se sabe con certeza el vector de ataque inicial, se barajan dos opciones:
- Correo electrónico: Los usuarios de las organizaciones reciben un correo electrónico en el que se encuentra el malware adjunto o se indica algún link para su descarga y ejecución. Al menos públicamente no se conoce el correo electrónico que causaría la infección.
- Equipos expuestos a Internet: Los equipos vulnerables que están expuestos a internet han podido ser infectados a través de la explotación de una vulnerabilidad de sistemas Windows del protocolo SMB o Microsoft Server Message Block.
¿Cómo se distribuye?
Una vez que se infecta el equipo de la víctima, el ransomware busca nuevas víctimas a través de su red interna aprovechando la vulnerabilidad del protocolo SMB de los sistemas Windows afectados y cifra los archivos de la víctima pidiendo el rescate.
Cuando encuentra sus dispositivos víctima, explota la vulnerabilidad utilizando un exploit denominado ETERNALBLUE. Este exploit fue descubierto gracias a la filtración de las herramientas de la NSA por el grupo Shadow Brokers.
¿Cuáles son las medidas preventivas?
- Actualizaciones: Microsoft sacó un parche el 14 de marzo de 2017 (MS17-010) en el que se solucionan las vulnerabilidades que explota el ransomware. Por lo que como primera medida habría que actualizar los equipos.
- Cierre de puertos: Los puertos utilizados por el ransomware para propagarse son el 139 y el 445. Estos puertos pueden cerrarse para evitar la explotación de la vulnerabilidad.
- Antivirus actualizado: Los antivirus pueden frenar la infección del ransomware y se van actualizando para hacer frente a nuevas variantes de los mismos.
- Software Anti-Ransomware: Existe software Anti-Ransomware especializado en este tipo de amenazas que frenan la infección en cuanto se detecta su presencia.
- Reglas de IDS/IPS (Intrusion Detection System/Intrusion Prevention System): Se pueden utilizar reglas específicas del ransomware si se cuenta con sistemas de detección y prevención de intrusiones.
- Copias de seguridad: Tener un buen sistema de copias de seguridad y un plan de recuperación ante desastres. Ante cualquier incidente de esta magnitud, con tales medidas, se podría volver al funcionamiento normal del negocio.
- Formación de los empleados: La concienciación de los empleados es esencial para evitar infecciones que tienen como vector de ataque los ataques de ingeniería social.
- Sistema de Gestión de la Seguridad de la Información: Si la organización cuenta con un SGSI o Sistema de Gestión de la Seguridad de la Información se cubren todas las áreas de seguridad de la misma, salvaguardando la información más importante.