Tras WannaCryptor, ¿cómo queda el panorama de la seguridad informática?
Han sido días duros, de muchas horas de trabajo intenso para detectar y bloquear las diversas variantes de WannaCryptor y otras familias de ransomware que, desde el 12 de mayo, están en boca de todos. A pesar de que esta amenaza lleva ya bastante años entre nosotros, no ha sido hasta hace unos días que los medios de comunicación le dedicaron una extensa cobertura y el público generalista descubrió las peculiaridades de este tipo de malware.
Ahora que el “efecto WannaCryptor” parece haber pasado, ¿cómo está la situación en lo que respecta al ransomware y otras amenazas?, ¿somos ahora más vulnerables o, por el contrario, hemos aprendido a aplicar las medidas de seguridad necesarias?.
Variantes e imitadores
Como ya hemos indicado, WannaCryptor no fue en absoluto el primer ransomware que tuvo gran impacto. Ni siquiera podemos considerarlo un buen ejemplo de ransomware puesto que contiene numerosos fallos en su código que incluso ha permitido que algunos de los sistemas infectados puedan ser recuperados (siempre que se cumplan ciertas condiciones) sin ceder al chantaje de los delincuentes, utilizando para ello herramientas como Wanakiwi y siguiendo unas sencillas instrucciones.
Debido al impacto mediático, muchos delincuentes se han lanzado a generar su propia variante de ransomware para intentar conseguir nuevas víctimas, aunque pocas de estas amenazas merecen ser analizadas debido a su pobre calidad, limitándose a imitar a WannaCryptor con mayor o menor acierto.
Sin embargo, han aparecido unas cuantas muestras de ransomware que sí van un paso más allá de WannaCryptor. Una de ellas es Uiwix, que también hace uso del exploit EternalBlue. Gracias a este exploit, este ransomware también adquiere capacidades de gusano para propagarse más rápidamente por redes corporativas y además añade características anti-debugging para dificultar su análisis, algo de lo que WannaCryptor carecía.
Otra de las amenazas aparecidas durante los últimos días es EternalRocks, descubierta por el investigador Miroslav Stampar, cuyas variantes más recientes se camuflan como una variante de WannaCryptor pero que, en realidad, se encarga de tomar el control del sistema para realizar otros ataques. Lo más destacable de esta amenaza es que hace uso de siete de los exploits de la NSA liberados el pasado mes de abril por el grupo The Shadow Brokers.
Antes de WannaCryptor
Si bien la característica más destacada de WannaCryptor fue la utilización de los exploits EternalBlue y DoublePulsar para conseguir infectar a sus víctimas y propagarse por redes corporativas, no fue el primero, tal y como se ha descubierto posteriormente. UN buen ejemplo de esto ha sido el malware Adylkuzz, detectado como Win32/CoinMiner.AFR y Win32/CoinMiner.AFU por las soluciones de seguridad de ESET.
En lugar de secuestrar la información almacenada por los usuarios en sus equipos, este malware utilizaba los recursos de los ordenadores que infectaba para minar monedas criptográficas como Monero. El inicio de la propagación de este malware se remonta a pocos días después de la publicación de los exploits de la NSA, lo que representa que dos semanas antes de la aparición de WannaCryptor, los delincuentes ya los estaban aprovechando.
De hecho, la tasa de infecciones se mantuvo bastante baja hasta un par de días antes del ataque que propagaba WannaCryptor, momento en el que empezó a despuntar y comenzar a afectar a miles de máquinas, especialmente en Rusia, Ucrania y Taiwan. Si bien este malware no se detectaba tan fácilmente como un ransomware, ya que no muestra ningún mensaje en pantalla, el elevado consumo de recursos delataba al usuario que algo no estaba funcionando correctamente.
¿Se ha aprendido algo de este incidente?
Se ha comentado por activa y por pasiva que este ataque no habría tenido éxito de haber aplicado los correspondientes parches de seguridad publicados por Microsoft dos meses antes del ataque. Si bien a día de hoy es muy sencillo para la mayoría de usuarios actualizar su Windows, en las grandes empresas este proceso aun resulta largo y tedioso. Se tiene que revisar que estas actualizaciones no afectan de manera negativa a los sistemas y aplicaciones instaladas (algunas de ellas incluso con décadas de antigüedad) y esto retrasa sobremanera la aplicación de estos parches.
A pesar de esto, el mecanismo de propagación utilizado por WannaCryptor y sus imitadores no es nada nuevo ya que, a lo largo de la historia, hemos visto numerosas infecciones provocadas por gusanos informáticos. Desde el gusano de Morris en una primitiva Internet, pasando por Melissa, I love You, Code RED, Sasser, Mydoom o Conficker (que aun sigue activo a día de hoy pese haber aparecido a finales de 2008) son varios los ejemplos similares que hemos sufrido en sistemas sin actualizar.
Cada vez que se producía un incidente similar se recordaba la importancia de adoptar las medidas de seguridad necesarias, solo para volver a tropezar en la misma piedra tiempo después. ¿Significa que estamos condenados a repetir los mismos errores una y otra vez? Eso depende bastante de en que nos fijemos.
En el incidente provocado por WannaCryptor no ha habido apenas usuarios domésticos afectados y muchas pymes tampoco han notado su impacto. Esto es debido a que los cambios en las políticas de actualizaciones de Windows que Microsoft ha ido implementando con el tiempo parecen haber funcionado parcialmente.
También la evolución de las soluciones de seguridad como han permitido a algunos antivirus detectar incluso la utilización de los exploits filtrados de la NSA y bloquear su ejecución, con lo que se evita la ejecución del malware, sea el que sea, en el sistema vulnerable.
Pero también debemos tener en cuenta que los delincuentes no se han quedado atrás precisamente y algunas amenazas actuales tienen una gran sofisticación que dificultan su detección y análisis. No obstante, el factor humano sigue siendo importante a la hora de conseguir que un ataque tenga éxito y eso es algo que hemos de mejorar mediante la concienciación en seguridad.
Conclusión
Después de más de una semana tras el incidente con WannaCryptor, es momento de reflexionar si se está haciendo lo necesario para que algo así no se vuelva a ocurrir. Disponemos de las herramientas e información necesarias para mitigar la mayoría de ataques actuales pero debemos tomarnos en serio algo tan crucial como la seguridad informática o estaremos condenados a repetir los errores del pasado.
Related Posts
-
Vulnerabilidad en Kindle Touch permite ejecutar código solamente visitando una web
-
Estas son algunas de las estafas y amenazas más comunes para usuarios de móviles
-
Microsoft soluciona 53 vulnerabilidades en los boletines de seguridad de noviembre
-
Detectados nuevos intentos de robo de credenciales de email
Sobre el Autor
Josep
Director de Investigación y Concienciación de ESET España. Apasionado de la tecnología, los videojuegos y trabajando en el mundo de la seguridad informática desde 2005. Siempre dispuesto a aprender y a compartir conocimientos para concienciar a los usuarios y así disfrutar de la tecnología de forma segura.
Comentar
Lo siento, debes estar conectado para publicar un comentario.
¿Qué ocurre con las herramientas que pudieran tener los Gobiernos y no han sido filtradas por los expertos de seguridad?
¿Hasta qué punto pueden ser puertas dejadas de manera intencionada por parte de los desarrolladores de software para los Gobiernos?
Soy de los que opina que si se encuentra un 0-day se debería de reportar al fabricante, esperar un tiempo para ver cómo actúa y si aplica el parche. Si fuera necesario liberarlo, y en caso de que se encuentre el parche liberarlo también para que todos podamos aprender a desarrollar mejor y defendernos mejor.
Al final la seguridad por oscuridad no creo que sirva para mucho; simplemente para dar una falsa sensación de seguridad y no saber cómo funcionan realmente las cosas.
Salu2
Muy buenas preguntas,
Soy de los que está a favor de la publicación responsable de vulnerabilidades y de compensar de alguna forma a aquellos investigadores que dedican su tiempo y conocimiento a encontrar fallos para que sean solucionados. No obstante, hay que tener cuidado a la hora de comunicar estas vulnerabilidades con las empresas afectadas ya que no todas reaccionan de la misma forma o incluso pueden llegar a acusar al investigador.
Por eso mismo, en España la mejor opción para reportar una vulnerabilidad es acudir tanto al CERT nacional gestionado por INCIBE como al Grupo de Delitos Telemáticos de la Guardia Civil o a la Unidad de Investigación Tecnológica de la Policía Nacional.
Saludos,
Josep