OpiniónSeguridad

WannaCry, o regreso al futuro…

Matthieu Bonenfant, experto de la firma de seguridad Stormshield, explica su punto de vista en torno a este malware que ha puesto patas arriba el panorama tecnológico actual.

Nuestro mundo conectado está sufriendo una nueva crisis con la llegada del ransomware WannaCry, también conocido como WannaCrypt, WanaCrypt0r o WCry. Nos hemos acostumbrado a vivir en los últimos meses con la amenaza de los ransomware. Muchas organizaciones han conseguido mantenerse bajo el radar, mientras que otras han tomado medidas preventivas elevando la concienciación de los usuarios o desplegando tecnologías de última generación.

WannaCry, sin embargo, viene equipado con un arma nueva que aumenta su potencial para hacer daño y propagarse. Este malware de nueva generación es capaz de extenderse de manera automática y transparente sin intervención humana. Una vez que el malware infecta una máquina dentro de una red –introducido por un fichero adjunto a un email, por ejemplo– se replica casi instantáneamente en todos los puestos de trabajo que no estén suficientemente protegidos.

Entonces ¿qué hay de nuevo? Nada en realidad, desgraciadamente.

No puedo evitar establecer un paralelismo con una experiencia caótica similar del pasado. Hace casi 10 años, el gusano Conficker forzó a muchas empresas y organizaciones a parar ciertas actividades: las redes se tuvieron que desconectar, terminales de venta cerrados, cadenas logísticas interrumpidas e incluso aviones militares tuvieron que quedarse en tierra. Este gusano, que estuvo tomando distintas formas, se extendió como un incendio incontrolado infectando varios millones de máquinas en todo el mundo. En esa época, yo trabajaba en servicios de ciberseguridad y consultoría. Durante semanas, ayudamos a nuestros clientes a librarse del gusano, y estos esfuerzos fueron costosos en términos de energía, recursos y tiempo, incluyendo noches y fines de semana.

Al final de esta batalla, el trauma era tan grande que las empresas estaban determinadas a no volver a pasar por el mismo trance. “Nunca más” se convirtió en el mantra de innumerables líderes que por fin se dieron cuenta de la importancia del ciber riesgo para su negocio.

Y aun así, diez años después, podemos decir que poco ha cambiado ya que las mismas recetas maliciosas funcionan tan eficazmente como en el pasado. Conficker y WannaCry utilizan el mismo método de propagación: explotan remotamente una vulnerabilidad crítica de Microsoft vía servicios SMB y NetBIOS. En ambos casos, existía un parche antes de que el malware se liberase. Diez años más tarde, las mismas técnicas continúan causando estragos en las empresas. No he podido encontrar la tabla del SANS Internet Storm Center representando el uso del puerto de SMB (TCP/445) en 2008, similar a la de mayo de 2017 (debajo). Pero recuerdo claramente las herramientas de monitorización de tráfico mostrando el mismo pico de uso del servicio SMB durante las fases de propagación de Conficker.

Peak usage of the SMB port (TCP/445) as WannaCrypt malware was spreading (May 2017).
Peak usage of the SMB port (TCP/445) as WannaCrypt malware was spreading (May 2017).

Soluciones que podrían haber cambiado por completo el curso de la historia

Lo más triste del caso WannaCry es que se podía haber evitado la situación o haberla mitigado en gran medida: hace dos meses, Microsoft publicó un parche para la vulnerabilidad de SMB que se ha explotado para la propagación del malware. Muchos expertos habían avisado de lo crítica que era esta vulnerabilidad, incluso refiriéndose específicamente a Conficker. 

Un mes más tarde, el grupo de hackers Shadow Brokers incluso colgó código robado a la NSA para explotar la vulnerabilidad. El ataque inminente se hacía más evidente y los medios habían alertado de esta posibilidad.

Lo más triste del caso WannaCry es que se podía haber evitado la situación o haberla mitigado en gran medida

Las organizaciones han tenido tiempo suficiente para aplicar el parche que habría relegado a WannaCry al rango de “simple” ransomware con el que tenemos que lidiar a diario.

Al mismo tiempo, el uso de tecnologías basadas en comportamiento, como Stormshield Endpoint Security, proporciona una respuesta real a amenazas similares a WannaCry. Esta aproximación proactiva, no basada en firmas, bloquea la posibilidad de explotar vulnerabilidades, incluso cuando no son conocidas, y previene de acciones maliciosas como el cifrado ilegítimo de ficheros.

Computing 808