Etiqueta: WannaCry

Publicado el

Microsoft deshabilitará el protocolo que facilitó el ataque de WannaCry

Windows-10-Fall-Creators-Update

Microsoft deshabilitará el protocolo que facilitó el ataque de WannaCry

Muchos recordaran el nombre de WannaCry, el ramsomware que llevó a cabo ataques masivos que afectó a miles de computadoras en el mundo, como por ejemplo varios hospitales en el Reino Unido, aprovechando una vulnerabilidad de Windows ya parcheada en su momento por Microsoft. Posteriormente la compañía lanzó otro parche de seguridad masivo incluso para dispositivos con versiones antiguas de Windows para evitar un nuevo ataque.

Ahora gracias al sitio Bleeping Computer sabemos que Microsoft deshabilitara el protocolo SMBv1 (Server Message Blocks) con la llegada de Windows 10 Fall Creators Update, esto se hará para evitar que otro ramsomware pueda aprovecharse de este protocolo para efectuar ataques masivos como sucedió a principios del mes de Mayo. Según Bleeping Computer la decisión de deshabilitar el protocolo SMBv1 fue anunciada en el 2014, pero es hasta ahora que tenemos una fecha concreta con la llegada de la tercera gran actualización de Windows 10, también conocida como Redstone 3.

Microsoft está probando internamente compilaciones de Windows 10 Enterprise y Windows Server 2016 con el protocolo ya deshabilitado, cabe destacar que no se trata de un parche ni una actualización, sino un cambio por defecto. El protocolo SMBv1 siempre ha podido ser deshabilitado manualmente en Windows 10 siguiendo las instrucciones de la página de soporte de Microsoft, pero en este caso estará deshabilitado desde instalaciones limpias.

Publicado el

Telefónica WannaCry File Restorer, una herramienta para recuperar archivos afectados por Ransomware

Telefónica WannaCry File Restorer

Telefónica WannaCry File Restorer

Hace unos días que viene trayendo de cabeza a muchas empresas de todo el mundo el ataque de Ransomware del virus Wannacry. Este logró infectar una gran cantidad de ordenadores ocasionando muchos daños en algunos casos, el más llamativo el de la sanidad británica, que llegó a dejar sin servicio algunos hospitales. Continuar leyendo «Telefónica WannaCry File Restorer, una herramienta para recuperar archivos afectados por Ransomware»

Publicado el

Sobre el porqué algunas empresas no actualizan al momento sus PC’s

Telefonica

Telefonica

El ataque de ransomware que estos días estas teniendo lugar ha dejado en entredicho la seguridad de algunas de las principales empresas e instituciones del mundo. Sin embargo entre particulares el efecto podría catalogarse de inexistente. ¿Porqué? Al fin y al cabo estas empresas se gastan millones en seguridad, mientras que un particular a veces ni se gasta el dinero en un antivirus. ¿Cómo puede haber pasado esto en Telefónica o los Hospitales británicos? ¿Qué ha fallado? Vamos a tratar de daros una explicación.

Ante todo hay que agradecer que los más afectados de esta situación han sido precisamente los que desde un inicio han reconocido sufrirla, muchas otras empresas se han negado a admitirlo y se han librado del estigma, al menos de momento.

¿Seguridad o productividad?

Al igual que muchos usuarios «legos» en la materia, cuando conocí que este ataque usaba una vulnerabilidad de Windows que Microsoft había parcheado allá por el mes de Marzo, lo primero que me vino a la mente es como empresas como Telefónica no habían actualizado sus terminales, no hablamos de una pequeña empresa de cuya seguridad se ocupa el «hijo del dueño» o el cuñado «que sabe de informática», hablamos de uno de las mayores empresas de telecomunicaciones del mundo.

Lo cierto es que cuando te paras a pensarlo ves que también hablamos de un número inmenso de ordenadores, cada uno con sus peculiaridades y su propósito, que hacen uso de programas y realizan procesos esenciales para el buen funcionamiento general de la compañía y del servicio que ofrecen.

Uno de los responsables de Telefónica más conocidos en la red es Chema Alonso, si, el del gorro. Desde que dio comienzo esta «crisis», el Chief Data Officer de la compañía, puesto actual de Alonso, se mostró muy activo en Twitter siendo claro y honesto al reconocer el problema, aunque queriendo también dejar claro que era más el revuelo que el daño real. Una de las preguntas que mas tuvo que afrontar es precisamente el porqué no se habían actualizado los equipo infectados y así haber evitado el problema. Hoy en su blog ha querido dejar claro el porqué:

[…] aprovechándose de las primeras infecciones, [el ransomware] ha dado con muchos equipos en las LAN de muchas empresas no estaban actualizados con los últimos parches de seguridad. Esto es así, porque en algunos segmentos internos de algunas redes, el software que corre en esos equipos necesita ser probado con anterioridad y el proceso de verificación y prueba de los parches no es tan rápido en los segmentos internos como en los externos porque el volumen de software interno suele ser mucho mayor y de mayor sensibilidad para la continuidad del negocio.

Vale, lo admitimos, hay que tomarse su tiempo para analizar cómo afectará cada parche a los equipos, pero entonces, ¿por qué las grandes compañías no invierten más dinero en prevención de estos ataques? Por supuesto que hay una inversión, pero ¿no sería mejor contratar a más gente para mantener el sistema actualizado? A estas preguntas también da respuesta Alonso:

La realidad es que en redes de empresas con la cantidad de tecnología que generamos diariamente en Telefónica, no se puede arriesgar la continuidad de negocio de un sistema que da servicio a los clientes por un problema con un parche, así que se invierte más en responder ante un posible riesgo de que sea explotado con medidas de detección y respuesta, en lugar de arriesgarse a que algo falle en la prevención rápida. Y no es porque el parche esté mal, sino porque puede afectar al funcionamiento de cualquier módulo del sistema completo.

La prevención no garantiza una seguridad al 100%

Lo cierto es que es imposible prever por donde va a venir el próximo ataque, la próxima infección o la próxima vulnerabilidad, es de entender que no se puede lograr el 100% de seguridad en una compañía y se dedica grandes esfuerzos no solo a prevenir, sino sobre todo a saber reaccionar ante un ataque como el que se ha sufrido. Que sepamos los clientes de la teleco española no se han visto afectados con el ataque, por lo que parece el equipo ha reaccionado bien y mantenido el servicio en funcionamiento, algo que por desgracia no se ha podido hacer en situaciones como la de algunos hospitales británicos.

Podía haber sido peor…

No quiero terminar este post sin mencionar la excelente labor de un experto en seguridad británico, Malwaretech, que investigando la forma de proceder de este gusano descubrió un cortafuegos, una forma de «parar el contagio» y dar así un tiempo precioso a muchas compañías para instalar el parche de seguridad que les protegió.

Este experto logro hacerse con una muestra del Ransomware y darse cuenta que este trataba de conectarse con una url. A grandes rasgos, descubrió que si el gusano lo lograba resolver la URL infectaba el ordenador donde estuviera, pero que si no lograba acceder a esa URL entonces no tenía lugar la infección. Bastó con adquirir ese dominio para que el gusano pudiese acceder a él para detener su avance y consiguiente propagación. Al mismo tiempo le sirvió para poder hacer un mapa de como se había expandido el ataque.

WannaCry Map

Este «fallo» se tomó en un inicio como una posible forma para detener el ataque si su creador lo quería, pero ahora parece que era más bien una forma de evitar que se pudiera investigar más a fondo.

Una pequeña labor que parece ha evitado daños mayores, pero que, como el mismo experto indica, puede ser omitido por nuevas versiones del gusano; lo que es mejor tener los sistemas actualizados.

https://twitter.com/MalwareTechBlog/status/863626023010750464

¿Que te parece como se ha manejado la situación?

Publicado el

WannaCry, el ransomware que ha afectado a Telefónica y otras empresas por una vulnerabilidad ya parcheada de Windows

WannaCry, el ransomware que ha afectado a Telefónica y otras empresas por una vulnerabilidad ya parcheada de Windows

WannaCry, el ransomware que ha afectado a Telefónica y otras empresas por una vulnerabilidad ya parcheada de Windows

Hoy las noticias televisivas y de la comunidad jornalista de la red han saltado en alerta ante la novedad que ha comenzado a surgir con respecto a un ransonware, de nombre WannaCry, que ha afectado a varias multinacionales y compañías reconocidas en el mundo como Telefónica, BBVA, Vodafone, siendo la primera la más afectada. Todo esto ha ocurrido gracias a una vulnerabilidad que poseía Windows, que se conoce como EternalBlue y reconocida con el código de conocimiento de Microsoft MSE17-010, y que fue solucionado en el Patch Tuesday de marzo de este año. 70 paises tambien están siendo afectados por este ransonware.

WannaCry ha traído problemas a los usuarios y compañías que no han actualizado sus copias de Windows, ya que este secuestra archivos del sistema y datos personales de la víctima, siendo recuperables únicamente con un pago de rescate vía Bitcoin. Las dos variantes que se conocen del ransonware incluyen desde eliminar las credenciales y los accesos de administración al dispositivo atacado, hasta la que hemos descrito y ha sido la más dañina, la encriptación de la información, pero en realidad corresponden a procesos distintos de acción por parte del atacante.

¿Cómo funciona WannaCry?

Según explica la compañía de seguridad MalwareBytes en una publicación análisis del código fuente de WannaCry, el ransonware primero intentaba conectarse a un sitio web específico que ya no existe.

Esto fue probablemente algún tipo de kill switch o técnica anti-sandbox. Sea lo que sea, se ha salido en contra de los autores del gusano, ya que el dominio se ha suprimido y el host en cuestión ahora resuelve una dirección IP que aloja un sitio web.

Posterior a ello, hace diversas comprobaciones para instalar un servicio que permite preparar el escenario para el ataque y para mantener disponible el ambiente para más futuros ataques.

Después de pasar este control, lo primero que hace el gusano es comprobar el número de argumentos con los que se lanzó. Si se ejecutó con menos de dos argumentos pasados, se instala un servicio denominado mssecsvc2.0 con nombre de presentación Microsoft Security Center (2.0) Service (donde el binario se ejecuta con dos argumentos), inicia ese servicio, elimina el binario de ransomware localizado en los recursos del gusano, y lo ejecuta.

Si se ejecutó con dos argumentos o más, en otras palabras, si se ejecutó como un servicio de ejecución, eventualmente cae a través de la función de gusano.

El gusano posee dos núcleos principales que permiten infectar arquitecturas de PC de x86 como x64, ambos provenientes de un archivo con extensión .data. WannaCry utiliza una API de pseudocriptografía que genera numero aleatorios. Además de ello, existe una función del código que escanea el archivo HOSTS y roba la IP del dispositivo, además de las redes cercanas a las que este se encuentra conectado para seguir propagándose. Todo esto lo hace tratando de conectar al puerto 445.

Los hilos que exploran Internet generan una dirección IP aleatoria utilizando el generador de números pseudoaleatorios criptográficamente seguro del sistema operativo inicializado anteriormente, o un generador de números pseudoaleatorios más débil si el CSPRNG no se inicializa. Si la conexión al puerto 445 en esa dirección IP aleatoria tiene éxito, se analiza todo el rango /24 y si el puerto 445 está abierto, se realizan intentos de explotar. Esta vez, el tiempo de espera de explotación para cada IP no ocurre después de 10 minutos, sino después de una hora.

Finalmente entra en acción el módulo principal de la explotación llamada DoublePulsar, el cuál realizada todo el trabajo. MalwareBytes recomienda ejecutar este script que permitirá eliminar cualquier indicio de DoublePulsar de nuestro dispositivo, así la puerta trasera se cierra y no hay opción de que WannaCry se propague.

Una vulnerabilidad ya parcheada

El reporte MSE17-010 de Microsoft indica que la actualización de seguridad resuelve vulnerabilidades en Windows. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un atacante envía mensajes especialmente diseñados a un servidor de Microsoft Server Message Block 1.0 (SMBv1), cuestión que WannaCry utiliza en dispositivos que no han recibido la actualización mensual de marzo.

Windows Vista, Windows 7, Windows Server 2008 R2, Windows Server 2012 y 2012 R2, Windows 8.1, Windows RT 8.1, Windows 10 y Windows Server 2016 son las versiones del sistema operativo que están afectados. Microsoft ofrece una solución en caso de que no hayas instalado esta actualización:

  • Abre el Panel de control, haz clic en Programas y, a continuación, haz clic en Activar o desactivar características de Windows.
  • En la ventana Características de Windows, desactiva la casilla de verificación SMB1.0 / CIFS File Sharing Support y, a continuación, haz clic en Aceptar para cerrar la ventana.
  • Reinicia el sistema.

El inconveniente con las empresas radica en la falta de diligencia al actualizar las versiones de los sistemas operativos Windows utilizados para administrar la información. Telefónica ha sido la más afectada, con un 85% de los computadores de la compañía ya afectados.

El FBI puede estar detrás de los ataques

WannaCry, el ransomware que ha afectado a Telefónica y otras empresas por una vulnerabilidad ya parcheada de Windows

Aunque no se conoce el origen del gusano, se especula que esto proviene desde el FBI gracias a herramientas y prácticas utilizadas por el NSA en años anteriores para este tipo de ataques de vulnerabilidades. Rusia ha sido el país más afectado, donde se ha producido el 73% de infecciones por WannaCry según indica Kaspersky Labs.

Imagen tomada de HobbyConsolas

Salir de la versión móvil