Cómo surgió y se propagó WannaCry, uno de los ciberataques más grandes de la historia

Hoy se cumple un año de WannaCry, el mayor ataque de ransomware de la historia. El ransomware es un programa malicioso que ingresa al sistema, encripta archivos y luego pide un dinero de rescate para devolver al usuario la posibilidad de acceder otra vez a ellos.

WannaCry comenzó un 12 de mayo y fue descrito como un "ataque sin precedentes" por la magnitud que tuvo: más de 230 mil computadoras en 150 países fueron afectadas. Los países más perjudicados fueron Rusia; Ucrania; India; Gran Bretaña, donde se vio comprometido el servicio nacional de salud; España, por el ataque a Telefónica y Alemania, donde la empresa ferroviaria alemana Deutsche Bahn AG fue el principal blanco.

Los ciberatacantes recolectaron más de 140.000 dólares en bitcoin. WannaCry no se siguió expandiendo gracias a un héroe circunstancial que encontró la manera de detenerlo.

Se trata de Marcus Hutchins, también conocido por su alias Malware Tech, quien encontró un "botón de apagado" que estaba en el código del malware. Hutchins pudo evitar la propagación de WannaCry registrando un nombre de dominio al que, aparentemente el gusano tenía que conectarse para lograr "capturar" (cifrar) los archivos de las máquinas que infectaba. En la actualidad Hutchins está acusado de haber creado el malware Kronos en 2014 y luego haberlo vendido en el mercado negro. El investigador informático se declaró inocente y aguarda que llegue la fecha del juicio en Los Ángeles, donde reside actualmente.

Si bien esto no sirvió para ayudar a las máquinas que habían sido infectadas, permitió detener la expansión de este ciberataque y tomar medidas defensivas. Una de ellas fue la actualización de Windows con el parche que la empresa lanzó en marzo de 2017, dos meses antes del ataque pero que muchos usuarios aún no habían llegado a instalar.

Cómo ocurrió

WannaCry se propagó agresivamente usando la vulnerabilidad de Windows EternalBlue, o MS17-010. "EternalBlue es un error crítico en el código de Windows de Microsoft que es al menos tan viejo como Windows XP. La vulnerabilidad permite a los atacantes ejecutar código de forma remota creando una solicitud para el servicio de Compartir archivos e impresoras de Windows", explica Ondrej Vlcek, CTO de Avast, una empresa que ofrece soluciones de seguridad informática.

Una vez que el sistema ingresa en una computadora, escanea la red y busca otras direcciones IP de manera aleatoria. Cuando encuentra otro equipo vulnerable, ingresa y así se comienza a expandir.

"Los informes indican que fue descubierto por la NSA, que le dio el nombre de EternalBlue, lo mantuvo en secreto, y luego creó una herramienta de puerta trasera para explotarlo. Un grupo de hackers llamado Shadow Brokers lanzó públicamente el exploit un mes antes del brote de WannaCry", señala Vlcek.

Como se mencionó anteriormente, Microsoft había lanzado un parche para EternalBlue dos meses antes de la propagación de WannaCry pero millones de usuarios omitieron actualizar el sistema y por eso quedaron vulnerables ante el ataque. Incluso en la actualidad hay usuarios que no instalaron ese parche.

Aparte de WannaCry, otras cepas de ransomware, como NotPetya, han utilizado la vulnerabilidad EternalBlue, detalla Vlcek. El exploit que activó ese brote sigue circulando e incluso ha tenido nuevos picos de popularidad en el último tiempo, según informa Eset

El ransomware y otros ciberataques en números

Si bien el año pasado el número de familias de ransomware disminuyó, se incrementó el número de variantes en un 46%. Esto indica que los cibercriminales están menos innovadores pero siguen siendo muy productivos, según se concluye en el último informe de Symantec.

A su vez, según el último reporte de ciberseguridad de Cisco, los ataques de ransomware están creciendo a una tasa anual del 350%. Usualmente los delincuentes piden rescates de entre USD 500 y 200 por usuario. Esto, sumado a las pérdidas de dinero que ocasionan a los clientes, termina ocasionando pérdidas de miles de millones de dólares.

Siempre se desaconseja pagar rescate. Por un lado, nada asegura que una vez que se haya abonado el valor solicitado se recupere el acceso a los archivos en cuestión. Y por otra parte, hay que desalentar estos delitos y si se siguen pagando, el negocio seguirá aumentado.

El phishing es otro de los ciberataques en alza. En estos casos se busca engañar al usuario por medio de un mensaje o correo (spear phishing) que parece venir de una entidad reconocida y se lo induce a que descargue un adjunto donde se le pide información personal; o bien se le pide que ingrese en un determinado link que lo deriva a una página falsa donde se le solicitará revele datos confidenciales. Según Symantec, en 2017, el 71% de los ataques dirigidos se iniciaron con spear phishing.

Los ataques de cryptojacking aumentaron en un 8.500% durante el año pasado, a raíz de la explosión de popularidad de las monedas digitales. El cryptojacking implica hacer uso de la capacidad de procesamiento de un equipo, sin que el usuario lo sepa, para minar criptomonedas.

Las lecciones que dejó WannaCry

Leonardo Carissimi, director de Soluciones de Seguridad de Unisys en Latinoamérica, compartió algunas lecciones que quedaron luego de este incidente. Aquí, un resumen de las más destacadas:

1. Este tipo de incidentes impacta financieramente en los negocios tanto por los pagos de rescate que se efectúan así como por el costo que implica desconectar equipos y dejar de estar operativo hasta que se resuelve el problema.

2. La prevención es fundamental y comienza con pequeñas cosas. Un trabajo de Gestión de Patchs, complementado con Gestión de Vulnerabilidades habría evitado este inconveniente.

3. Realizar copias de seguridad con frecuencia es fundamental

4. La utilización de herramientas para la microsegmentación reduce los estragos. Al aislar sistemas por microsegmentos, el movimiento lateral realizado por el malware se contiene, y no contamina una gran cantidad de equipos en red. Se sugiere optar por la microsegmentación por software, enfocándose inicialmente en sistemas más críticos. Eso permitirá la adopción rápida, sin impacto en la arquitectura de la red y con reducción de costos. A mediano y largo plazo, la técnica aumentará la seguridad y permitirá la simplificación de la red al reducir la complejidad de firewalls internos y segmentación vía VLAN.

5. Prepararse para el malware nuevo requiere de un Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés) más inteligente, que identifique comportamientos anómalos incluso cuando se presente un ataque nuevo con firma desconocida. En el caso de WannaCry, la comunicación mediante la puerta de SMB, el comportamiento de moverse lateralmente dentro de la red, y la dirección de su "maestro" que intenta contactar, son indicios típicos de que algo extraño está sucediendo y que permitirán a un SOC inteligente detectar la nueva amenaza a tiempo.

6. Una vez detectada la nueva amenaza, se requiere de una rápida respuesta. Las respuestas automáticas o manuales podrían bloquear el tráfico sospechoso y eliminar de la red a los equipos contaminados. La utilización de una Arquitectura de Seguridad Adaptable es recomendada para responder de modo dinámico, cambiando la arquitectura de subredes a la medida en que las contaminaciones sean identificadas. Un ejemplo es colocar en cuarentena los equipos contaminados y evitar que los mismos contaminen a otros.

MÁS SOBRE ESTE TEMA:

Qué es un ataque de ransomware y cómo prevenirlo

Cómo funciona la millonaria industria del cibercrimen

"Ciberarmadas", filtraciones y técnicas de engaño para orquestar ataques millonarios