Sobre Ransonware y ciberataques virtuales

Sobre Ransonware y ciberataques virtuales

publicado en: Noticias, Seguridad | 0

Que es el RANSONWARE

Después de leer el articulo de Enrique Dans no hemos podido evitar publicarlo en nuestro humilde Blog, una forma de informar  sobre lo acontecido estos últimos días con el famoso “ciberataque” por ransonware, aunque compartimos el fondo, en cambio no el tono, un poco alterado de Enrique, suponemos que después de muchas llamadas y discusiones, lo vemos un poco subido de adjetivos, pero dejamos el texto integro para no desmerecer el conjunto. Y dice asi:

El ataque del pasado viernes no tuvo, en sí, nada de especial. Es un virus vulgar, con un mecanismo de infección aleatorio y nada sofisticado, que utiliza una vulnerabilidad publicada hace algún tiempo – concretamente el pasado marzo, en el dump de Wikileaks sobre la CIA y sus herramientas – y que no debería tener ninguna importancia ni ser más que una simple molestia en cualquier compañía que tenga una mínima rutina de copias de seguridad. No hay ningún tipo de “ataque” dirigido contra nadie en concreto, no hay ninguna amenaza que no estuviese ahí desde hace tiempo, y por supuesto, no hay ninguna ciberguerra (o no más de la que ya había, que no tiene nada que ver con el virus del pasado viernes). Ni esto es algo “especial”, ni ha sido detenido, ni fue el primero de su clase, ni va a ser el último.

Lo más importante de este virus es que separa a las compañías que hacen bien las cosas de las que no lo hacen. Esta mañana me he despertado con un correo interno de una empresa en la que decían que “como no utilizamos Telefonica como red de telecomunicaciones, estamos a salvo”… ¿por favor, cómo es posible tanta ignorancia? El virus se transmite a través de cualquier usuario que haga clic en un enlace infectado, sea de Telefonica o de quien sea, y ninguna compañía está a salvo de que uno de sus usuarios haga clic en el enlace, salvo que someta a sus usuarios a una disciplina que sería más digna de un campo de concentración. La infección es, repetimos, a-lea-to-ria, cuanto más usuarios y ordenadores tengas, más probable es que la contraigas, y lo importante no es que te infectes, sino que sepas qué diablos hacer si te infectas.

En ese sentido, lo que toda empresa tendría que hacer es:

  1. Asegurarse de que, en caso de disrupción de un equipo, tienen una copia de seguridad desde la que restaurarlo. Me da lo mismo que la disrupción se produzca por un ransomware o que sea por un martillazo: si un equipo deja de estar disponible, toda su información tiene que poder ser recuperada inmediatamente desde una copia de seguridad. En esto no hay excusas: si lo tienes, bien. Si no, no lo estás haciendo bien.
  2. Instalar la actualización de seguridad de Microsoft que soluciona esa vulnerabilidad. Esa actualización que siendo importante porque era evidente que sería explotada, Microsoft solo ofreció a aquellos usuarios que tenían mantenimiento en activo, pero no a quienes tenían versiones más antiguas de su sistema, a quienes no ofreció parches actualizados hasta el momento de la infección masiva. Al no ofrecer ese parche de manera inmediata e incondicional en su momento, Microsoft se convierte en vector y corresponsable de la infección del pasado viernes. Que Microsoft ahora pretenda echarse las manos a la cabeza y culpar a la NSA no reduce su responsabilidad en este asunto, ni aclara cómo fue el proceso que permitió que la NSA tuviese acceso a esa vulnerabilidad.
  3. Actualizar antivirus y herramientas relacionadas.
  4. Si la infección aparece en un equipo, desconectarlo inmediatamente de la red y comenzar el protocolo. No tratar de ocultarlo como si fuera alguna enfermedad vergonzante, sino todo lo contrario: hablar con todos los proveedores implicados y comunicar con los organismos adecuados por si hubiese algún tipo de novedad en el proceso, borrar el equipo o equipos afectados, y restaurarlos desde la copia de seguridad. Cuanto más transparencia, mejor. Las empresas tienen que entender que el procedimiento de negarlo todo solo empeora las cosas: en el mundo actual, hay cosas que son tan imposibles de evitar como la muerte y los impuestos, y que cuando ocurren, hay que demostrar que se tienen los procedimientos para solucionar los problemas que causan.

Lo mejor de este virus y de la exageración mediática que ha generado es que posiblemente convenza a algunas compañías irresponsables de que esas herramientas que utilizan para hacer su trabajo tienen unas necesidades de mantenimiento y de cuidado que, si no se llevan a cabo, terminan generando una disrupción de los procesos de negocio. Hay demasiadas compañías ahí fuera que no actualizan sus sistemas operativos ni sus antivirus, que no tienen una rutina de copia de seguridad, o que creen que cualquier cosa que les pase va a ser culpa de un tercero. No, a estas alturas, si uno de tus ordenadores se infecta y pierdes datos, la culpa es tuya y solo tuya. Por cenutrio. Y si alguien en tu compañía propone pagar a un extorsionador para recuperar unos datos, piensa que lo único que refleja es que alguien, antes, no hizo bien su trabajo. Ah, y que es muy posible que pagues, y no recuperes nada. Los delincuentes es que tienen esas cosas, a veces simplemente toman el dinero y corren…

Por favor, dejémonos de conspiraciones masivas, de culpabilizar a terceros, de pensar que el virus lo creó un tal Ramón (a ver, hombre… que es muy fácil: ransom quiere decir “rescate” en inglés, eso es todo 🙂 Esto no tiene más cera que la que arde: es un simple virus creado para ganar dinero a costa de incautos que no tienen copia de seguridad de su información, que se distribuye aleatoriamente y que no supone ningún tipo de escalada en ningún sistema de alarma. Nada. Un virus mundano, nada especial, obra de un grupo poco sofisticado, por mucho que se haya distribuido de forma masiva. Lo único que debería hacer es que unos cuantos leyesen un poco más, se informasen mejor, y aprendiesen que la seguridad comienza con la prevención y con una evaluación adecuada de los riesgos. Que nos pongamos como nos pongamos, siempre van a estar ahí.

 

Más sobre el ransomware

The Ransomware Meltdown Experts Warned About Is Here

http://edition.cnn.com/videos/cnnmoney/2017/05/13/ransomware-wannacry-attack-explained.cnn

 


Desde Ahora Soluciones Murcia S.L. queremos dar un mensaje de tranquilidad, pero también de estar atentos y cumplir con las normas básicas:

  1. No abras archivos adjuntos ni hagas clic en enlaces sospechosos. Los sospechosos habituales son los archivos adjuntos en e-mails y páginas web maliciosas o hackeadas. Así que, si no estás 100 % seguro, no hagas clic.
  2. Haz copias de seguridad a menudo y guárdalas en un dispositivo sin conexión. Si algún ransomware cifra o borra tus archivos, no habrá problema porque tendrás copias.
  3. Utiliza una solución antivirus fiable. ESET Antivirus detecta WannaCry e impide que el ransomware les haga nada a tus archivos.

Sistema de copia de seguridad aislados y automatizados.

Cronologia y datos del “ciberataque”

  • Una puerta trasera es un mecanismo que un fabricante proporciona a propósito en sus sistemas (teóricamente seguros) para que alguien (ellos mismos, o un gobierno) pueda entrar.
  • Una vulnerabilidad es un fallo no intencionado en un software considerado seguro que el fabricante ignora y que permite al que lo descubre poder entrar sin ser descubierto.

Si alguien, algún día, descubre puertas traseras en software desarrollado por Microsoft, Apple, Google, etc. sería la ruina de estas empresas en muchos países. A la NSA y a otras organizaciones gubernamentales, dado que no cuentan con la colaboración de las empresas para que les hagan puertas traseras les interesa encontrar vulnerabilidades para explotarlas sin el conocimiento de nadie más (y en particular, del fabricante).

La teoría de la conspiración no cuadra en este caso, y el artículo de Wired no menciona “backdoor” ni una vez:

1) Microsoft lleva diciendo que se deje de usar SMB1 desde 2013, cuando lo incluyó en estado “deprecated” en Windows 2012 R2:

https://technet.microsoft.com/en-us/library/dn303411.aspx

y sus ingenieros llevan diciéndo que se deje de usar más de dos años:

https://blogs.technet.microsoft.com/josebda/2015/04/21/the-deprecation-of-smb1-you-should-be-planning-to-get-rid-of-this-old-smb-dialect/

¿Estaba Microsoft proporcionando una puerta trasera a la NSA que cualquier organización pudiera cerrar migrando de SMB1 a una versión superior?

2) Microsoft liberó el parche el 14 de marzo de 2017:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

El exploit que usaba la NSA fue robado y liberado el 14 de abril de 2017, un mes más tarde del parche:

https://en.wikipedia.org/wiki/EternalBlue

¿Sabía Microsoft un mes antes que la puerta trasera que había proporcionado a la NSA iba a ser robada y liberada?

Obsolescencia

En otro orden de cosas, todas esta medidas de prevención y protocolos informáticos, también se deberían seguir a la hora de actualizar sistemas antiguos, aunque no lo parezca los ordenadores se hacen viejos y tienden a fallar los discos duros cuantas mas horas girando lleven, por lo que es buena idea cambiar los equipos informáticos cuando estos tengan una edad, o en su defecto, tener las copias de seguridad bien al día, ya que en cualquier momento, al igual que sale un virus nuevo, también puede dejar de funcionar para siempre, provocando la ya conocida frase de: “lo he perdido todo”, echando la culpa al pobre ordenador que llevaba ya sus 15 años trabajando perfectamente y hoy de repente, y sin avisar no funciona.

#wannacry #ransomware #windows