lunes, 15 de mayo de 2017

Qué es y cómo ha llegado el ransomware WannaCry


Nota: este NO es un artículo técnico sino una explicación para usuarios básicos de qué y cómo ha podido haber una infección de malware tan extendida y con tanta repercusión mediática. Los artículos técnicos que he consultado para ilustrarme están al final de la entrada (y merece mucho la pena leerlos).

El pasado viernes, a eso de media mañana, el informático de la Sala se acerca y me dice: “Echa un ojo a las noticias: hay una infección “gorda” ahí fuera”; pero se quedó en eso, ya que la carga de faena -y una feliz celebración a recién-papás lo impidieron.
Tres de la tarde, saliendo del trabajo y ya con cobertura la cuenta de Twitter y, especialmente las de Telegram, estallaban a mensajes: algo inusual estaba pasando. Vamos, como que decían que Telefónica, Iberdrola y alguna otra empresa grande, incluso extranjeras, se “habían caido” por un ataque informático. Las orejas tiesas ¡era algo grande de verdad!
El viaje de vuelta a casa en tren, aún a pesar de haber dormido muy poco la noche anterior lo hice, contrariamente a mi costumbre, totalmente despierto y conectado, viendo cómo bajaba alarmantemente el niveĺ de la batería del móvil; pero no podía, no quería desconectar… estaba enganchado al devenir de la infección que se prometía mundial.

¿Qué pasó?

Que un ransomware ha sido capaz de infectar a decenas de miles de ordenadores de Intranets profesionales encriptando sus archivos y exigiendo un rescate en bitcoins. Esos ordenadores, corriendo sistemas operativos Windows, son los mismos que podemos tener en casa, así como en la oficina o en los hospitales, controlando el tráfico ferroviario o las compuertas de una presa...
Los archivos que encripta son prácticamente todos, con la excepción de los imprescindibles del sistema operativo para que el ordenador siga funcionando, y algunos otros que no tienen datos valiosos para nosotros. Vamos, que lo mismo te quedas sin información de facturación como sin historial médico de tus pacientes ¡total ná! Además, exige pagar una cantidad de 300$, que se dobla a 600$ en tres días y borraría los archivos en una semana si no se hace el pago. Ingeniería social pura y dura: sensación de urgencia (sube el precio → borra archivos) para que hagas lo que te dicen (pagar). Obviamente nadie ni nada garantiza que pagando tus datos vayan a volver sanos y salvos.
Os suena ¿verdad? En todas las charlas de concienciación, bien sean dentro del Plan Director o como cibercooperante, hablamos tanto de este “virus de moda”, el ransomware, como de la IngenieríaSocial.

¿Cómo se ha cogido/extendido?

Pues eso es algo que aún no está claro y tendremos que esperar a que los forenses informáticos hagan su trabajo, pero en principio las fuentes de una infección como esta suelen ser dos:
- abrir adjuntos de correo o ir a páginas maliciosas, principalmente, o
- un ataque indiscriminado por todo Internet buscando ordenadores sin actualizar con una vulnerabilidad concreta y a ser posible desconocida aún.
En principio se supone que ha sido esta segunda vía la que se ha empleado, dado lo improbable de que miles y miles de personas en sus puestos de trabajo abran casi simultáneamente el mismo correo infectado. Y la vulnerabilidad que se ha explotado es, curiosamente, una que se conoce desde hace tiempo y para la cual Microsoft ya había lanzado el correspondiente parche de seguridad hace un par de meses: una que afecta al puerto 445 sobre el protocolo SMB. En cristiano: una funcionalidad que nos permite compartir carpetas e impresoras dentro de una red local, que ha permitido infectar muchas máquinas muy rápidamente.
Ahora, si has podido asistir a alguna charla de seguridad en las que tanto insistimos en actualizar, fácilmente te estés preguntando cómo es posible que se hayan infectado empresas tan grandes que tienen personal cualificado para mantener los sistemas informáticos ¿no? Es una buena pregunta, ya que se ha hecho mucha leña de los árboles caídos entendiendo como tales a los administradores de sistemas y responsables de seguridad de esas empresas. Una de las posibles explicaciones radica en lo difícil que es aplicar todas las actualizaciones de todos los programas, cruciales muchos de ellos, que tienen que coexistir en un ordenador de una gran empresa y cuya interacción es lo suficientemente compleja como para que un mínimo cambio se cargue el equipo. Lo se, lo sufro con mis usuarios, mis lusers como diría @Tovver… y eso que no soy yo quien “hace” los equipos. Por eso el ataque ha tenido tal éxito. A los usuarios de a pie que dejan que Microsoft -su Windows- se actualice automáticamente no les ha ocurrido… que se sepa.
Pero, para que os hagáis una idea de la gravedad de la situación os diré que Microsoft ha lanzado un parche de seguridad ¡hasta para Windows XP! Sí, ese sistema operativo que se supone debería estar fuera de servicio desde abril del 2014 con el que aún hay muchas máquinas funcionando, como TPV que están conectados a Internet para que podamos hacer pagos vía tarjeta de crédito… Pero eso es otra historia.

¿Cuándo se va a terminar?

No se sabe, ni se espera. Este ataque ha sido mitigado en gran parte porque un investigador destripando el código del bicho han sido capaces de ver su comportamiento y observaron una cosa curiosa: venía programado con un “switch kill”, un botón de “apagado”. Os explico. Una vez infectado un ordenador de la red interna de la empresa lanzaba una petición a una página web, intentaba abrir una página web. Si no obtenía respuesta de esa página (la contestación típica de “esa página no existe”) se lanzaba a la búsqueda de otro ordenador en la misma red al que infectar, y repetía la acción. La página web era una de nombre impronunciable y que no existía, por lo que la infección se iba propagando exponencialmente. Pero ese investigador tuvo la brillante idea de, al ver que la página web no estaba registrada ni dada de alta, gastarse unos diez dólares y registrar el dominio, para redireccionarlo a un “sink hole” un servidor web cuya función es la de capturar el tráfico malicioso para examinarlo. Desde ese momento todos los ordenadores que se iban infectando obtenían una respuesta de la página web con lo que el bicho dejaba de buscar nuevos huéspedes. Simple ¿verdad? Pues eso ha permitido detener la expansión… ¡de momento! Pero se espera que continúe de alguna otra manera, impredecible, como los motivos de su lanzamiento.

¿Podemos hacer algo?

Claro. Lo que no hemos hecho hasta ahora aunque nos lo han repetido hasta la saciedad:
- actualizar el software que corre en los equipos, tanto sistema operativo como aplicaciones (aunque lo sabes te lo repito: el software pirateado NO se actualiza ergo es vulnerable). Si tienes Windows 10 – ese sistema que Microsoft ofreció de modo gratuito hasta hace unos meses - estás a salvo; pero cualquier otra versión debe ser parcheada de inmediato.
- no hagas clic a lo loco en cualquier enlace, ni abras los adjuntos de correos no confiables.
- ten herramientas de seguridad: antivirus, antimalware, cortafuegos
- haz copias de seguridad periódicamente y tenlas a salvo (no es preciso llegar a tener dos o tres, incluso repartidas por ahí; basta con una que no guardes conectada al ordenador)
- para nota: cierra los puertos y los servicios que no uses (invita a una cervecita con tapa a tu “amigo informático”… si es que puedes pillarle ahora)


Yo, de momento, sigo usando Linux como sistema operativo de referencia en casa, por lo que estoy un poco más seguro. Eso sí, actualizo y paso también un antivirus a mis equipos ¡no os vaya a infectar a vosotros!

Un cordial saludo.


Otra nota: las páginas web que me han servido de fuente para este laaargo post han sido, principalmente:
- la de quien cortó la expansión:
- la de otros que controlaron su movimiento por Internet: http://blog.talosintelligence.com/2017/05/wannacry.html
- la de alguien que hace una disección detallada y casi comprensible para un lego: https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis
- una de quien persigue a los malos sin descanso y te lo cuenta en plan “peli de terror”:
- la del Maese, destripador de acaecidos eventos pasados: https://www.informaticoforense.eu/mi-opinion-sobre-wanacrypt0r/


No hay comentarios: