El viernes saltaba la noticia de que la sede principal de Telefónica en España, había sido víctima de un ciberataque, y sus ejecutivos “invitaban” a sus trabajadores a apagar sus ordenadores e irse a casa. Minutos más tarde se difundía, que este mismo ataque había afectado a más de 150 países, infectando unos 200.000 ordenadores en todo el mundo y generando el caos en hospitales, fábricas y grandes empresas.
Pero… ¿qué tipo de ciberataque, en términos de seguridad informática, es el que se ha llevado a cabo?
Dentro de la Ciberseguridad, se ha producido un ataque ransomware. Este tipo de incidente se caracteriza por el cifrado de los archivos y la solicitud de un rescate para la recuperación de los mismos y la liberación del sistema. Cuando un ordenador es infectado por un ataque ransomware, sus archivos en el disco duro con extensiones como .doc, .dot, .tiff, .java, .docs, .xls entre otros, son encriptados y se modifica su extensión, de manera que el usuario no puede acceder a su contenido, quedando el sistema bloqueado. El hacker entonces pide un rescate, generalmente en Bitcoins, para devolver el acceso al sistema.
Así el objetivo último de este tipo de ciberataque NO es el robo de información, sino la inhabilitación del sistema hasta el pago del rescate correspondiente, que en este caso asciende a unos 300$ en bitcoins por ordenador infectado, a pagar en un plazo determinado. Si no se cumple con el plazo, se amenaza con que los datos quedarán bloqueados para siempre, en otras ocasiones se incrementa la cuantía del rescate si no se cumple con los plazos establecidos para el pago.
La forma de infectar los equipos del ataque ransomware, puede ser a través de una página web maliciosa que descarga el virus en el ordenador, o la manera más habitual, mediante el envío de correos con spam. En estos correos, se adjunta algún fichero que cuando es abierto por la victima ejecuta un script que activa el virus.
En el ciberataque del pasado viernes la infección se ha realizado a través de exploits que aprovechan vulnerabilidades en equipos con diferentes versiones del sistema operativo Windows.
WannaCry el virus enviado a través del ataque ransomware
El virus enviado en el ataque a la sede de telefonía, se conoce como WannaCry, en concreto y según el INCIBE (Instituto Nacional de Ciberseguridad) se han detectado dos variantes de este virus en los equipos infectados:
- WannaCrypt.A: Es la versión que más éxito ha tenido en el ataque ransomware por ser la que más se ha extendido. Realiza como primer paso un intento de conexión a una página web codificada internamente, antes de comenzar a cifrar los documentos. Si consigue realizar la conexión con éxito, no cifra ningún documento, en caso contrario comienza el cifrado y solicitud del pago del rescate.
- WannaCrypt.B: Esta variante comienza inmediatamente a cifrar los archivos para posteriormente solicitar el pago del rescate.
Este virus se propaga gracias a una serie de vulnerabilidades detectadas en diferentes versiones de Windows, como XP, Vista, Server 2003, 7, 8, 8.1, 10, Server 2012 and R2, 10 y Server 2016. Dicha brecha de seguridad puede subsanarse mediante la actualización que impide al malware propagarse fácilmente por la red, en concreto el boletín de seguridad de Microsoft que lo soluciona es MS17-010, publicado el pasado 14 de Marzo.
El algoritmo de encriptación usado en el ciberataque mediante WannaCry es AES.
Fases del ataque ransomware
El ciberataque sobre los sistemas puede dividirse en tres fases:
1º Infección: Mediante Spam masivo o explotación de vulnerabilidades de servicios expuestos a internet o a una conexión de red local con otro equipo infectado se descarga el dropper.
2º Descargado el dropper se infecta la máquina con el virus de ransomware
3º El ransomware infecta la máquina cifrando sus archivos y utilizando una vulnerabilidad de ejecución de comandos remota a través de SMB, distribuyéndose al resto de máquinas Windows en la misma red, mediante el escaneo de la red LAN en busca de equipos vulnerables a MS17-010.
¿Cómo podemos evitar el ataque y la propagación del virus?
Lo mejor para evitar el ataque ransomware es llevar a cabo la actualización del sistema publicada por Microsoft en MS17-010. Además, y debido a la afectación a nivel mundial Microsoft ha publicado nuevos parches de seguridad para versiones de su sistema operativo que no contaba con soporte oficial.
En el caso de que hayamos sido infectados y no se puede aplicar el parche de seguridad lo mejor es seguir las pautas marcadas por el INCIBE:
- Aislar la red donde hay equipos infectados
- Aislar los equipos infectados.
- Desactivar el servicio SMBv1.
- Bloquear los puertos 137/UDP , 138/UDP, 139/TCP y 445/TCP
- Bloquear el acceso a la red Tor
¿Es posible recuperarse del ataque ransomware sin pagar el rescate exigido?
El pagar el rescate para la recuperación de los datos NO garantiza que vayamos a recuperar la información, así que la totalidad de instituciones expertas en Ciberseguridad, como el INCIBE, aconsejan NO pagar nunca el rescate. De hecho, ésta tiene un servicio de AntiRansomware en el que nos explica cómo recuperarnos de este tipo de ataques sin necesidad de pagar por ello a los hackers. Además disponen de un servicio de análisis y descifrado de ficheros afectados por algunos tipos de ransomware en determinadas condiciones.
Por otro lado, la mayoría de grandes compañías tienen, por lo general, unas buenas copias de seguridad de sus sistemas, por lo que la restauración se podría llevar a cabo sin muchas pérdidas.
