Los informes llegaron profusamente durante el viernes 12 de mayo – los medios destacaban que docenas de hospitales en Inglaterra estaban siendo afectados por ransomware, que impedía a los médicos acceder a los expedientes clínicos de sus pacientes, retrasando además cirugías y otros tratamientos. El malware se propagó rápidamente durante el día, con el personal médico en el Reino Unido, según se informa, viendo caer sus computadoras “una por una”. El personal del NHS (Servicio Nacional de Salud del Reino Unido) compartió capturas de pantalla del programa WannaCry, que exigía un pago de US$ 300 en moneda virtual Bitcoin para desbloquear los archivos de cada computadora.
Durante el transcurso del día, otros países, principalmente europeos, reportaron infecciones. Algunos informes señalaban que en Rusia se observaban más infecciones que en cualquier otro país. Los bancos nacionales, los ministerios del interior y de la salud, la empresa ferroviaria estatal rusa y la segunda mayor red de telefonía móvil, acusaban el golpe.
Las infecciones se propagaron, llegando durante el sábado al centenar de países, con los sistemas rusos afectados aparentemente más que otros.
¿Que estaba pasando?
Los detalles fueron dados a conocer rápidamente: Ésta era una variante relativamente desconocida de un ransomware denominado WannaCry o WCry; WCry, “descubierto” por hackers que sustrajeron información de la Agencia de Seguridad Nacional estadounidese (NSA); las máquinas afectadas eran equipos de sobremesa, laptops servidores operados con versiones no actualizadas de Windows.
Más alarmante aún, WCry no se extendió a través de las redes de la forma habitual, a través de personas haciendo clic en archivos adjuntos de correo electrónico. En lugar de ello, una vez que un dispositivo Windows era afectado en una red Windows, Wcry lograba propagarse e infectar otras máquinas no parcheadas, sin mediar interacción humana alguna.
El término utilizado por la industria para este tipo de ransomware super-vigoroso es:
Ransomworm.
Los ransomworms se extienden rápidamente
Sabiendo que estábamos frente a una incidencia de ransomworm, en lugar de un ransomware normal, me dirigí a uno de los expertos en malware propagable a través de las redes Windows, Roi Abutbul.
Abutbul es investigador en ciberseguridad, fundador y CEO de Javelin Networks, una compañía de seguridad que utiliza inteligencia artificial para luchar contra el malware. “El ransomware WannaCry / Wcry- la infección de ransomware más grande en la historia- es un ransomware de próxima generación. Al contrario que ocurre con el ransomware regular, que sólo cifra la máquina local en la que se encuentra, este tipo se extiende a través de la red de la organización desde dentro, sin que los usuarios abran un correo electrónico o un archivo malicioso adjunto. Por eso lo llaman ransomworm”, me comentó.
Agregó: “Este ransomworm se mueve lateralmente dentro de la red y cifra cada PC y servidor, incluyendo la copia de seguridad de la organización. El software de Javelin fue capaz de prevenir la propagación de Wcry en las computadoras de sus clientes, impidiendo su ingreso a la red”, explicó Abutbul.
“La solución de Javelin está diseñada específicamente para detectar automáticamente, responder y contener este tipo de propagación en una red corporativa en tiempo real.
Específicamente, este ransomworm aprovechó la vulnerabilidad Microsoft SMB MS17-010 para propagarse internamente (la misma vulnerabilidad que la NSA utilizó durante un par de años y fue expuesta recientemente a través de la filtración de las herramientas de NSA en enero pasado). Es importante enfatizar que no se trata de un hack creado por la NSA. Más bien, es una vulnerabilidad de Windows que la NSA conocía y que fue revelada en enero de 2017. Microsoft, al igual que otros proveedores cuyas vulnerabilidades estaban expuestas en el cúmulo de datos sustraídos a la NSA, actúo rápidamente para solucionar la situación. El problema es que no todos los clientes instalaron el parche.
El Boletín de Seguridad de Microsoft MS17-010, publicado el 14 de marzo de 2017, indicaba: “Esta actualización de seguridad resuelve vulnerabilidades en Microsoft Windows. La más grave de ellas podría permitir la ejecución remota de código si un atacante envía mensajes especialmente diseñados a un servidor de Microsoft Server Message Block 1.0 (SMBv1). Los sistemas afectados de Windows incluyen Windows Vista, Windows Server 2008, Windows 7, Windows 8.x, Windows Server 2012, Windows 10 y Windows Server 2016”.
Seguros por ahora, pero quizás no por mucho tiempo
La buena noticia es que Wcry se extinguió rápidamente y en un par de días ya no era una amenaza seria, aunque durante semanas tendremos noticias de sistemas infectados, porque algunas organizaciones tardarán en instalar los parches en la actualización de seguridad de Microsoft .
La mala noticia es que otros ransomworms como este probablemente ya están circulando. Roi Abutbul me advirtió: “Esta vez, los atacantes usaron una rara vulnerabilidad no parcheada, pero hay muchas otras maneras de moverse lateralmente y propagarse dentro de la red. Javelin se concentra específicamente en el movimiento lateral malicioso en sus primeras fases y tiene la capacidad de detener cada intento de propagación independientemente de la metodología y ayudar a la organización a recuperarse automáticamente”.
l mejor consejo: en primer lugar, esté al día con los parches de Windows. Demasiadas organizaciones, particularmente las del sector público, o con recursos limitados de TI como los hospitales, aplazan la instalación de parches.
En segundo lugar, utilice herramientas como las ofrecidas por Javelin Networks, para proteger la red contra malware y ataques conocidos y desconocidos. Si usted no está parcheando, y no está utilizando las herramientas adecuadas, hay cero duda: Usted es vulnerable.
Por Alan Zeichick, Analista Principal de Camdem Associates, con sede en Phoenix, Arizona, EE.UU.