El Incidente
El viernes 12 de Mayo de 2017 la sede central de Telefónica España en Madrid y algunas sedes más, así como otras empresas de servicios, telecomunicaciones, servicios financieros, etcétera, han sufrido un ataque de ransomware de la familia WannaCry.
A la hora de escribir este informe, se han declarado más de 230.000 infecciones y los atacantes solicitan 300$ por cada equipo afectado. Las incidencias se reparten entre casi 100 países por todo el globo y entre las víctimas hay tanto empresas privadas como administraciones públicas. En España destaca el caso de Telefónica por su importancia estratégica y en Reino Unido el NHS, su red de hospitales, ha sido la víctima más sonada, por poner sólo dos ejemplos.
No todas las empresas atacadas se han visto afectadas, algunas por no sucumbir ante el phishing y otras por tener sus sistemas informáticos debidamente actualizados o con redes lo suficientemente compartimentadas como para evitar la propagación.
Parece que se trata de un ataque cuya primera fase sería el phishing. El phishing es la práctica de envío masivo de correos electrónicos fraudulentos en los que se trata de suplantar la identidad de otra entidad, pública o privada y que incita a los receptores de dichos emails a abrir el archivo adjunto a dicho correo, el cual desencadena el malware. En este caso, en lugar de un adjunto, el instalador del ransomware (dropper) vendría de un enlace insertado en el propio cuerpo del email que los usuarios habrían abierto.
En ataques por phishing, el malware puede ir adjunto al propio email o descargarse mediante un enlace integrado que no parece sospechoso.
Ver Actualizaciónes 2 y 5 -> La campaña de phishing habría tenido lugar el mismo día del ataque y se habría lanzado, posiblemente, desde la botnet Necurs. Necurs es una botnet dedicada al envío masivo de spam, lo que habría facilitado la rápida propagación del phishing necesario para la gran expansión que ha tenido WannaCry. Dado que este ransomware, además de afectar al usuario engañado mediante phishing, se comporta como un gusano en la red informática del afectado, basta que un usuario caiga en la trampa para que los PCs y servidores del resto de su red puedan verse también comprometidos. Necurs ya habría sido usada para distribuir malware Locky, Dridex y otros.
Actualización 2 (14-05-2017): A pesar de que el phishing es la forma más habitual de distribución de ransomware, la campaña lanzada desde la botnet Necurs parece ser anterior al ataque de WannaCry y correspondería a una campaña de ransomware Jaff. Parece ser que Jaff es una variante del famoso Locky. La vía de infección de Jaff sería un archivo PDF adjunto que a su vez integra un documento de Word con una macro que hace la función de dropper para el ransomware propiamente dicho.
Actualización 5 (16-05-2017): Dadas las múltiples investigaciones que han hecho varias empresas sobre millones de correos electrónicos de spam de la última semana y la falta de evidencias presentada por cualquier entidad afectada por WannaCry, parece evidente que el phishing no ha sido una técnica que fuese utilizada de ninguna forma para la propagación de este ransomware y que se trataría sólo de difusión mediante el modo gusano. que se explica más adelante en este mismo artículo.
El ransomware WCry/WannaCry
El ransomware específico empleado en este ataque es WannaCrypt0r, de la familia WCry/WannaCry. Una vez infectada una computadora en la red corporativa, el ransomware, además de cifrar los archivos a los que tenga acceso, inicia una segunda fase de infección: trata de infectar otras computadoras de la red en la que se encuentre el equipo afectado.
La vulnerabilidad
Para dicha propagación a modo de gusano (worm), emplea una vulnerabilidad que afecta al protocolo SMB1.0 de Microsoft (Server Message Block). La vulnerabilidad que aprovecha permite ejecutar código sin permiso en los equipos afectados. Los códigos de vulnerabilidad relativos a este problema son CVE-2017-0272, CVE-2017-0277, CVE-2017-0278, CVE-2017-0279. El CERTSI nos habla de la vulnerabilidad en su página web. Podemos recurrir a la información original publicada por Microsoft, en su boletín MS17-010 del 14 de Marzo de 2017.
Desde Microsoft Insider informan que el problema de la propagación dentro de las redes corporativos deriva de la falta de aplicación de los parches de seguridad publicados por Microsoft. Según indica este mismo medio, el parche fue publicado por Microsoft el 10 de Marzo y distribuido la semana siguiente, entre el 13 y el 17. Casi 2 meses hasta que se ha desencadenado el ataque global el día 12 de Mayo.
La explotación de la vulnerabilidad indicada parece que ha sido posible gracias a la publicación por parte de Shadow Brokers de los exploits que obtuvo de la NSA. Uno de esos exploits (en concreto EternalBlue) podría ser el empleado para explotar la mencionada vulnerabilidad sobre SMB facilitando la propagación de WannaCrypt0r por redes internas de empresas y administraciones públicas.
Los sistemas operativos afectados por esta vulnerabilidad y a los que se deben aplicar los correspondientes parches de seguridad son los siguientes sistemas Windows:
- Windows Vista SP2
- Windows Server 2008 SP2 y R2 SP1
- Windows 7
- Windows 8.1
- Windows RT 8.1
- Windows Server 2012 and R2
- Windows 10
- Windows Server 2016
Sea mediante phishing (Ingeniería Social) o de forma automática desde otro equipo afectado, la funcionalidad final del ransomware WannaCrypt0r es cifrar los archivos de información a los que tiene acceso y pedir un rescate económico.
Acualización 4 (14-05-2017): Windows XP, Windows 8 y Windows Server 2003 también son vulnerables. No aparecían en la lista inicial puesto que Microsoft no continúa dándoles soporte, pero a la luz de la gravedad de los acontecimientos, Microsoft ha publicado un parche de seguridad para estos sistemas operativos disponibles en la guía publicada por Microsoft.
Aunque es lo más habitual y probable, no es seguro que la campaña se iniciase con phishing. Sobre todo considerando que las comunicaciones SMB nunca deberían estar expuestas a Internet ya que se trata de un protocolo de comunicación interno. También cabe la posibilidad de que se aprovechasen múltiples vectores de ataque para el despliegue inicial, no sólo phishing. Al final, el objetivo de los atacantes era entrar en las redes infectando al menos 1 equipo, para que desde esa computadora comprometida, el ransomware se propagase mediante la vulnerabilidad de SMB a modo de gusano.
Se habla mucho de que a penas han habido o se han reportado infecciones entre particulares. Sí en pequeñas empresas aunque no tengan el espacio mediático de las grandes corporaciones. Esto podría deberse a que el común de los ciudadanos no tiene puertos abiertos en sus routers ni equipos en DMZ. Algunos incluso estarían protegidos por Carrier-grade NAT de los operadores que impide el acceso desde el exterior a sus routers.
Acualización 1 (13-05-2017): según publica Josep Albors en protegerse.com, sí existen muchos dispositivos accesibles desde Internet accesibles a través del puerto TCP445 empleado por SMB. Por este motivo, y porque se carecen de muestras del posible phishing original, cabe la posibilidad de que gran parte del ataque se haya desarrollado directamente de esta forma sin intervención de correos electrónicos fraudulentos.
Actualización 3 (14-05-2017): A la luz de lo publicado por Josep Albors y por la confusión que generó la coincidencia temporal de los ransomware Jaff y WannaCry, parece que el phishing no sería el vector de ataque inicial en la campaña Wannacry. Deberíamos por tanto asumir que hay muchas más empresas de las imaginables con acceso a su red interior por el puerto 445.
Además, dado que WannaCry genera un retardo de hasta una hora desde su infección hasta su expansión como gusano a otro equipo, es posible que algunas computadoras portátiles puedan verse comprometidas en una red insegura y luego conectarse a otra más cerrada donde propagarían la infección.
El objetivo
El ransomware cifra los archivos:
- ubicados en la unidad local de la computadora afectada
- en cualquier unidad externa, por ejemplo discos USB
- en unidades de red: como por ejemplo NAS o sistemas de archivos compartidos mediante Active Directory.
Todos los archivos sobre los que la computadora infectada tenga permisos de escritura serán cifrados estén o no en la propia computadora.
Los archivos afectados por ransomware de la familia WCry/WannaCry son aquellos con las siguientes extensiones:
.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .aes, .ai, .ARC, .asc, .asf, .asp, .avi, .backup, .bak, .bmp, .brd, .c, .cgm, .class, .cpp, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .dif, .dip, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .gz, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .n, .nef, .odb, .odg, .odp, .ods, .odt, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .sh, .sin, .slk, .sql, .sqlite3, .sqlitedb, .stc, .std, .stw, .suo, .swf, .sxc, .sxd, .sxm, .sxw, .tar, .tarbz2.tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip
El proceso que sigue el ransomware para cada archivo es crear una copia cifrada del mismo y borrar el original, de modo que si tenemos un archivo nombre.txt, el resultado será otro denominado nombre.txt.wcry cuyo contenido estará cifrado mediante el algoritmo AES de 128 bits y por tanto no puede ser visualizado
Por tanto, una vez en ejecución, el procedimiento consiste en generar la clave de cifrado, enviarla al centro de comando y control de los cibercriminales, cifrar los archivos y solicitar el rescate, para lo que cambia el fondo de pantalla, guarda un archivo TXT en el escritorio con instrucciones y abre una aplicación que solicita un pago en bitcoins indicando la cuenta a la que hacer la transferencia.
El rescate
Pasados 3 días desde la solicitud del rescate, el precio del mismo aumentaría y pasados 7 días el centro de comando y control borraría la clave por lo que, ni siquiera pagando el rescate, podría recuperarse la información.
El sistema solicita 300 dólares americanos por cada computadora afectada. El importe se solicita en Bitcoins siendo 0,18Bc el equivalente a 300$ a fecha 13 de Mayo de 2017. Tratándose de, posíblemente, más de 100.000 equipos afectados, el valor potencial sería de 30 millones de dólares.
La campaña tendría un coste de ejecución muy reducido porque:
- Las campañas de phishing y usos de botnets son muy económicas.
- El desarrollo del exploit para la vulnerabilidad de SMB correspondería a la NSA y habría sido filtrado por WikiLeaks haciéndolo accesible de forma gratuita a cualquiera.
- WannaCrypt0r es una versión de WannaCry, lo cual no implica un desarrollo completo desde cero de un nuevo modelo de ransomware.
Por estos motivos se puede inferir que el despliegue de una campaña cibercriminal de estas características tiene un coste económico muy reducido. Con un mínimo porcentaje, de pago de rescates, incluso inferior al 1% de los equipos afectados, la rentabilidad seguiría siendo muy alta.
¿Hay algo más que el dinero?
A pesar del aparente móvil económico directo, es muy importante que todas las empresas y organizaciones afectadas evalúen los daños sufridos y busquen cualquier otra «sorpresa» que pueda haber pasado desapercibida por el ruido, tanto tecnológico como mediático que ha causado el ataque con ransomware. Es posible que quede oculto otro tipo de malware en estos ataques en modo durmiente y que pase a ser activo en el futuro.
Hay que mantener siempre en nuestra mente que un ataque puede ser sólo la distracción para otro, o que atacar a muchos de forma aparentemente indiscriminada puede servir para camuflar el ataque a un objetivo específico.
Análisis mediante ReaQta-Hive
Gracias a la cooperación de ReaQta Ltd, cuyo sistema de gestión de ciberamenazas ReaQta-Hive detecta, entre muchos otros tipos de malware, los ransomware de la familia WCry/WannaCry hemos podido detectar que la comunicación entre el ransomware y su centro de comando y control se realiza a través de la red TOR.
También nos informa ReaQta de que WannaCrypt0r obtiene persistencia en el sistema modificando el registro de Windows, de forma que aunque no complete el cifrado antes de que se apague el ordenador, podría hacerlo si este vuelve a encenderse. También borra las Shadow Copies valiéndose de VSSadmin (gestor las shadow copies) y wmic (Línea de comandos para el Instrumental de administración de Windows).
Podemos ver los procesos vssadmin.exe y wmic.exe con PID 1316 y 2832 respectivamente, en la esquina inferior derecha de la copia de pantalla anterior. El icono de la derecha del proceso wmic.exe indica que este proceso ha manipulado archivos. Si seguimos el árbol de procesos vemos que derivan proceso @wanadecryptor@.exe cuyo icono indica que ha manipulado el registro de Windows, y que a su vez, dependen del proceso detectado como desencadenante del incidente, el PID 1808 (con nombre ed01e.exe en el experimento).
En exonerator.torporject.org podemos comprobar como la dirección IP 194.109.206.212 indicada en la anterior copia de pantalla de la consola de ReaQta-Hive, a fecha de 12 de Mayo de 2017, pertenece a la red TOR.
Solución y respuesta al incidente
Las claves para evitar este tipo de problemas son formación, mantenimiento y protección.
- Formación: educación y concienciación del personal para evitar caer en el phishing
- Mantenimiento: aplicar las actualizaciones y parches de seguridad para impedir la explotación de vulnerabilidades por parte de malware y cibercriminales.
- Protección: ReaQta-Hive
ReaQta-Hive es un sistema de detección y respuesta a incidentes de ciberseguridad dotado de Inteligencia Artificial para detectar incluso el malware y las acciones maliciosas que aún no han sido programadas. Basa su eficiencia en el análisis del comportamiento de cada uno de los procesos que se ejecutan en una computadora por separado y de todos ellos en conjunto y en el contexto de la infraestructura global. ReaQta-Hive permite buscar automáticamente incidentes relacionados con los detectados. Todos los incidentes se gestionan desde su consola sin necesidad de desplazamientos y garantizando el aislamiento en red de los equipos afectados. No hay necesidad de apagarlos para gestionar los incidentes.
Además, ReaQta-Hive integra una solución anti-malware pro-activa y automática capaz de detectar y bloquear ransomware.
Consejos del CCN-CERT
Como medidas preventivas adicionales, el CCN-CERT, en un informe publicado el mismo día del incidente, recomienda:
- Actualizar los sistemas a su última versión o parchear según informa el fabricante
- Para los sistemas sin soporte o parche se recomienda aislar de la red o apagar según sea el caso.
- Aislar la comunicación a los puertos 137 y 138 UDP y puertos 139 y 445 TCP en las redes de las organizaciones.
- Descubrir qué sistemas, dentro de su red, pueden ser susceptibles de ser atacados a través de la vulnerabilidad de Windows. Aislarlos, actualizarlos y/o apagados.
Ralentizada la propagación de WannaCrypt0r
Un técnico de MalwareTech.com, el sitio de web del mapa al inicio de este post, descubrió que el ransomware WannaCrypt0r intentaba conectar con un dominio no registrado
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
Este técnico registró el dominio y lo apuntó a un servidor bajo su control para analizar el tráfico que recibiese y comprender mejor el ransomware al que se enfrentaba el mundo (sinkhole server). El resultado fue que todas las nuevas instancias del ransomware, al poder resolver dicho nombre de dominio, se desactivaban y detenían su propagación. Es decir, que al registrar dicho dominio, el técnico de MalwareTech, había herido gravemente al monstruo y había ralentizado en gran medida su capacidad de proliferación.
Para una información más detallada al respecto, se puede consultar el artículo escrito por el propio técnico en malwaretech.com al respecto de esta afortunada intervecnión.
Se ha dado en llamar a esta peculiaridad de WannaCry un killerswitch, un apagado de emergencia, pero la mayor parte de los expertos dudan si no puede ser un fallo del desarrollador, o incluso un burdo intento de protección para dificultar el trabajo de los analistas. Sea cual sea el origen o motivación de esa característica de WannaCry, su descubrimiento por parte de MalwareTech ha dado un gran respiro a los equipos de seguridad de todas las empresas e instituciones afectadas en todo el mundo permitiéndoles recuperar terreno poniendo más barreras y remedios a la expansión del ransomware.
Permitir el acceso a iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com limita la expansión de WannaCry