WannaCry: Un ransomware con algo especial

A veces los acontecimientos nos superan. No tenia pensado hablar de wannacry ni de ningun malware concreto.  Este post llevaba más de un año en mis borradores y no me animaba a dar el paso y terminarlo pero, dadas las situaciones excepcionales de los últimos días, he tenido que hacerlo.

Principalmente lo estaba dejando porque es un tema que requiere de conocimientos más avanzados a los que hemos publicado en el blog. Mi idea es que este blog vaya aumentando el nivel poco a poco. Que vaya sentando unas bases solidas para que tú, el lector, pudiera aprender de verdad sobre seguridad informática. No pretendo que aprendas a ejecutar un metasploit y conseguir una shell sin saber que pasa por debajo.

No obstante, WannaCry ha hecho estragos en muchas empresas internacionales (de momento llevamos mas de 200.000 infecciones). Aunque no ha afectado a usuarios domésticos, se ha creado cierta alarma social. De modo que en este post intentaré por una parte explicar de la forma más sencilla posible qué es un ransomware, comó evitarlo y qué hacer si nos infectamos. Por otra parte, tambien haré un breve análisis de WannaCry. De modo que allá vamos.

¿Qué es WannaCry?

WannaCry es un ransomware que ha sido “gusanizado”, es decir, es un ransomware que puede infectar a otras maquinas. Aprovecha una vulnerabilidad en Samba, el sistema para compartir archivos de Windows, publicada por Shadow Broker. Para quien no lo sepa, Shadow Broker son un grupo de ciberdelincuentes que accedieron a los sistemas de la Agencia Nacional de Seguridad Americana. Robaron multitud de herramientas para comprometer y espiar sistemas, entre ellas dos que se han usado en el desarrollo de WannaCry: EternalBlue y DoublePulsar

Pantalla de rescate de WannaCry

Pero, ¿qué es un ransomware?

Un ransomware es un malware. Pero no malware de los clásicos que nos formateaban el disco o nos mostraban publicidad o similares. Un ransomware lo que hace es buscar por tu disco duro archivos de usuario (pdf, doc, xls, jpg…) y los cifra. Luego te muestra un mensaje y te pide una cantidad de dinero en bitcoins (entre 300$ y 1000$) por facilitarte la clave para descifrarlos.

Un ransomware generalmente tiene 3 partes bien diferenciadas:

El dropper

Este es el origen de la infección. Es un pequeño programa adjunto, generalmente, en un mensaje de correo. Puede venir incrustado en un pdf, en un doc o directamente en un archivo javascript (como el famoso factura.js). En cuanto el usuario ejecuta el dropper este realiza una conexión https a un servidor donde se descarga el ransomware propiamente dicho. De esta manera, el dropper no es detectable por antivirus ni antimalware, ya que no tiene ningún tipo de contenido malicioso, tan solo realiza conexiones https (como podría hacer un navegador)

El malware

Una vez que el dropper ha sido ejecutado, este descarga una copia del malware. El malware busca los archivos importantes para el usuario y los cifra con un método de cifrado imposible de romper. También suelen eliminar los puntos de restauración del sistemas para complicar aun más la restauración de los archivos. Generalmente crea una clave de cifrado por cada equipo y la envía al C&C (a continuación veremos que es). Lo mas común es que también cifre unidades remotas que estén configuradas en el equipo (la típica carpeta de departamento). Luego, muestra un mensaje con una cartera de bitcoins donde puedes ingresar el rescate para recuperar tu clave de descifrado. Lo que pasa después de pagar lo veremos más adelante.

El C&C

En C&C es el Command & Control Server. Es el servidor desde donde el ciberdelincuente almacena todo: claves de cifrado, cuentas de bitcoins, registro de quien ha apagado y quien no.

¿Como evitarlo?

A nivel particular tenemos varias formar de minimizar el riesgo (ya que evitarlo al 100% es imposible):

  • Tener todo el software actualizado a la ultima versión. Podemos activar las actualizaciones automáticas para instalarlas en cuanto estén disponibles
  • Tener backup de todo lo que es importante y, a poder ser, desconectar el usb entre copia y copia ya que los ransomware también cifran las unidades conectadas. Puedes también hacer una copia en la nube o en otro equipo que tengas en casa a través de la red.
  • Tener un antivirus actualizado. No te va a salvar de los nuevos malwares que aparezcan, pero estarás protegido de los ya conocidos.
  • No abrir adjuntos o links de correos que no conocemos.
  • Haz backup. Si, está repetida, pero es el método más efectivo para que no te afecte demasiado este tipo de malware
  • ¿Os he dicho que hagáis backup?

Todas estos consejos son aplicables en el entorno empresarial aunque, en estos entornos, suele haber mas medidas de seguridad tanto perimetrales como a nivel de máquinas.

¿Qué hacer si hemos sido infectados?

Si hemos sido infectados:

  • Desconectar el equipo afectado de la red retirando el cable de red o apagando la WIFI para evitar infecciones en otros equipos de red.
  • Verificar en los equipos de la red, una vez que los antivirus actualicen sus firmas, que los equipos están limpios escaneando con un antivirus
  • Restaurar una copia del backup, si lo tenemos
  • Si no lo tenemos podemos ver si existe un descifrador en hoja de Google Docs
  • Si no podemos descifrarlos ni tenemos backup, guarda una copia de los archivos cifrados. Tal vez en un futuro aparezca un descifrador y puedas recuperarlos y empieza a hacer backup.

¿Qué no hacer si hemos sido infectados?

Aquí hay solo una norma, no pagar, nunca, bajo ningún concepto. Existen varios motivos por los que no pagar:

  • Nada nos asegura que nos devolverán nuestros archivos. En principio los ciberdelincuentes suelen cumplir, pero yo no me fiaría, por algo se les llama ciberdelincuentes.
  • Se han dado casos de ciberdelincuentes que, una vez pagado, te facilitaban un programa que te descifraba los ficheros. Este programa a la vez te instalaba otro ransomware que se ejecutaría meses después, de modo que tendrías que volver a pagar. Lo que se llama suscribirse al ransomware.
  • La razón mas importante es esta: estás contribuyendo a que esto continúe. Si nadie pagara dejaría de ser un negocio lucrativo y se dedicarían a otra cosa.

¿Qué tiene de especial WannaCry?

WannaCry es un ransomware a la que se le ha añadido una capa que lo convierte en un gusano. Aprovechando una vulnerabilidad en los equipos, escanea la red e infecta a los equipos vecinos.

A día de hoy, la única incógnita es el método de infección. Toda la comunidad daba por supuesto que el dropper habría venido en un correo como siempre. Tras varios días aun no existe ni rastro de ese correo fuente de la infección.

La otra opción que queda es que la infección haya sido directamente a través del protocolo Samba. Esto significaría que grandes empresas como Movistar o Fedex habrían tenido servicios Samba expuestos a Internet. Me parece raro y  supondría un gran fallo de seguridad.

Hay otro dato curioso: el malware no ha afectado a usuarios domesticos. Esto nos da dos teorias: o efectivamente se trata de un ataque directo a samba y, por defecto, los router domesticos no tienen este servicio publicado a internet o se trate de un ataque dirigido a grandes empresas.

Mapa de afección mundial de WannaCry

Para los amantes de las conspiraciones: se rumorea que esto ha podido ser tan solo un test para medir el tiempo de respuesta de las grandes empresas. Se dice que aun queda lo peor. Pese al gran numero de infecciones, tan solo se han recaudado unos 30000$. Se ha recaudado tan poco porque las grandes empresas tienen sistemas de backup y pueden recuperar su datos con mas o menos trabajo.

NOTA

Para los puristas: obviamente se quedan muchas cosas sin explicar y otras no son completamente exactas. He tratado de explicar un concepto tan complicado como un ransomware para la gente sin grandes conocimientos de seguridad informática. No me estigmaticéis tan pronto, no soy maligno 😉

2 respuesta a “WannaCry: Un ransomware con algo especial”

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.