No hay duda que el ataque de ransomware Wannacry del pasado viernes, que se extendió como la pólvora, fue malo.
Su habilidad para propagarse como un gusano explotando una vulnerabilidad de Windows, es algo que no habíamos visto en una campaña de ransomware. Pero debemos añadir que ha habido mucha publicidad y exageración. Pongamos algo de perspectiva.
Este es un resumen de la investigación de Sophos, así como de lo que estamos haciendo para proteger a nuestros clientes. Desde ese punto de partida, analizamos como esto encaja en las tendencias de las amenazas actuales, y como, tomándolo dentro del amplio mundo de la ciberseguridad, este no es el comienzo del fin del mundo.
Actualización del lunes
Dado que el ataque del viernes estaba sin controlar, podíamos esperar que el lunes fuese una jornada complicada con mutaciones del malware golpeando sin piedad para maximizar los beneficios económicos que esta oportunidad les ofrece.
Durante el fin de semana, las cuentas creadas para recopilar el dinero de los rescates, habían recibido una cantidad mucho menor de lo esperado para un ataque de estas dimensiones. El lunes por la mañana, esta cantidad iba en aumento, sugiriendo que los pagos se habían demorado hasta el ese momento. El sábado, los tres monederos de bitcoin asociados a WannaCry habían recibido 92 pagos totalizando 26.407,85$. El domingo la recaudación ascendía a 30.706,61$. El lunes por la mañana ya se habían realizado 181 pagos por un importe de 29,46564365 BTC (50.504,23$).
Las distintas investigaciones parecen confirmar que el ataque se realizó empleando código filtrado de la NSA por un grupo de hackers llamado Shadow Brokers. Se empleó una variante del APT EternalBlue Exploit (CC-1353) de Shadow Brokers que utiliza un potente cifrado de ficheros como documentos, imágenes y vídeos.
Según los analistas de Sophos, esto no parece tener indicios de ser un ataque sofisticado, más bien se han usado técnicas sofisticadas que ya habían sido publicadas en Internet.
Hay tres razones que causaron la rápida propagación del ataque:
1. La inclusión de un código que hace que la amenaza se extienda como un gusano en las redes locales, de manera que no necesita intervención de las víctimas desde que es infectada por primera vez.
2. Explota una vulnerabilidad que muchas organizaciones no habían parcheado.
3. Muchas organizaciones aún usan Windows XP
Todavía nos queda por saber quién está detrás del ataque. Sophos está colaborando con las fuerzas del orden en averiguar el origen de este ataque ofreciendo toda la información disponible. Creemos que los orígenes se encuentran en correos electrónicos maliciosos que fueron abiertos por las víctimas.
Protección al cliente
Sophos continúa actualizando sus productos contra la amenaza. Los clientes de Sophos que tienen Intercept X y Sophos EXP, verán como CryptoGuard detiene esta amenaza. Estos productos bloquean el comportamiento malicioso del malware y recuperan los ficheros cifrados, pero puede que el aviso de la infección aparezca.
Para actualizaciones sobre el código específico que se bloquea, Sophos está continuamente actualizando su base de datos.
Mientras tanto, todos debemos actualizar nuestra versión de Windows como recomienda Microsoft en su boletín de seguridad MS17-010. Para quien use una versión antigua de Windows, Microsoft ha publicado una guía sobre cómo detiene este ataque y hay disponible un parche excepcional para Windows XP, Windows 8 y Windows Server 2003.
No es el fin del mundo
Pese a la importancia del ataque, debemos decir que no estamos ante un cambio en las tendencias de los ciberataques. Este ataque es una mezcla de ataques ya conocidos que se ha convertido en la tormenta perfecta.
Las recomendaciones son las de siempre para defendernos de estos ataques clásicos:
- Actualiza los sistemas lo antes posible
- Siempre que sea posible, abandona las versiones de Windows que ya no tienen soporte.
Para protegernos contra el ransomware deberemos:
- Realizar copias de seguridad a menudo
- Tener mucho cuidado con los archivos adjuntos que recibamos de correos electrónicos no deseados
- Usar Sophos Intercpt X, o si eres un usuario particular Sophos Home Premium Beta
¿Pagar o no pagar el rescate?
Por último, surge la cuestión si las víctimas deben pagar o no el rescate. Sophos ha tomado principalmente una decisión neutral en el asunto. En un mundo perfecto, nadie debería pagar a los malos. Pero todo depende de la situación de las organizaciones, puede que se encuentren en la situación de que no les queda más remedio de tener que pagar.
En este caso parece que el pago del rescate no está ayudando a las víctimas. Por todo esto, el CTO de Sophos Joe Levy cree que pagar es una mala idea ya que no existe ninguna garantía de recuperar la información perdida, como es lo que parece que está ocurriendo en este caso.