Cómo se produjo el ciberataque masivo que ha afectado a más de 150 países

Cómo se produjo el ciberataque masivo que ha afectado a más de 150 países

ciberataque telefonica wannacry

Seguro que has recibido una gran cantidad de noticias sobre este tema en pocas horas. Un ciberataque ha afectado a importantes empresas españolas y de más de 150 países en todo el mundo.

Se trata de la distribución de un malware del tipo ransomware (cifra los ficheros y pide un rescate a cambio), que no es más que una variante del malware WannaCry. Hasta aquí, solo podríamos decir que es uno de tantos ransomware a los que, lamentablemente, ya nos tienen acostumbrados los ciberdelincuentes. Este ransomware fue enviado, como es habitual, mediante correo electrónico, en un correo spam, con un asunto que invita al usuario a abrir el contenido adjunto.

No es una variante de las más peligrosas. Simplemente, cifraba los ficheros y pedía unos 300 € de rescate para poder recuperar la información. Este ransomware establecía una conexión con un servidor de Internet (su creador) antes de actuar; un dominio que ha sido metido en una blakhole-DNS (filtro de Internet), con lo que ha sido desactivado.

secuestro informacion wannacry

Lo novedoso es que, además de la propia infección por ransomware, cada ordenador infectado buscaba otros ordenadores conectados a su propia red, o abiertos en Internet, tratando de explotar la vulnerabilidad MS17-10 de Microsoft, publicada el 14 de Marzo.

Gracias a este agujero de seguridad era posible infectar aquellos ordenadores o servidores vulnerables, directamente desde la red, enviándose a cada nuevo ordenador, y haciendo que a su vez infectara a otros. Es decir, se ha combinado un ataque ransomware con un “gusano”.

El ransomware ya ha sido firmado por casi todos los fabricantes de antimalware y, además, como se indica anteriormente, ya ha sido neutralizado. Pero, esto no soluciona el problema, habrá nuevas modificaciones, nuevas versiones y nuevo malware, así que no podemos bajar la guardia.

En cuanto a la vulnerabilidad de Microsoft explotada por el malware, hay que decir que el fabricante ya había publicado parches para eliminarla. Realmente, los sistemas vulnerables son aquellos que no hayan sido actualizados en el último mes, aproximadamente. Pero, ante la gravedad de la situación y el impacto mediático que ha tenido, Microsoft ha publicado también parches para sus sistemas basados en Windows XP, Windows Vista y Windows Server 2003, ya sin mantenimiento hace años.

Por todo esto, podemos decir que la situación ha sido consecuencia de la combinación de cuatro ataques:

  • Un envío masivo de spam
  • Una ingeniería social que ha hecho que algunos usuarios abran un fichero desconocido
  • Un malware del tipo ransomware
  • La explotación en forma de “gusano” de una vulnerabilidad Microsoft

alerta seguridad ataque

¿Qué debemos hacer?

  • Contra el SPAM:
    • Disponer de sistemas antispam y antimalware en el perímetro de la red, de modo que se minimice la probabilidad de que este tipo de correos lleguen al usuario. Independientemente del sistema de correo empleado (incluso en sistemas cloud), la seguridad no está garantizada. Busca medidas adicionales de seguridad en el correo electrónico.
    • Lo ideal es disponer de una plataforma de antispam dotada de “sandbox”, que ejecutará los ficheros sospechosos antes de que lo haga el usuario, reduciendo notablemente estas amenazas.
  • Contra la ingeniería social
    • Formación, formación, formación y concienciación, concienciación, concienciación.
    • ¿Qué parte de “si no sabes lo que es, no lo abras” no entiendes?
    • En Internet, si algo es gratis, es que el producto eres tú.
  • Contra el ransomware
    • Disponer de un antimalware actualizado
    • Elegir de entre los fabricantes de antivirus aquellos que aporten una protección específica contra ransomware, APT o amenazas desconocidas. Dada la variabilidad de los ransomware, el mero filtrado en base a firmas no siempre es suficiente.
    • Asegurar la existencia de una política de copias de seguridad, probada y con la periodicidad adecuada. En caso de infección, bastará con restaurar los ficheros.
    • El sistema no debería poder acceder a los ficheros de copia de seguridad ya que, en caso de infección, podrían cifrarse tanto los ficheros originales como sus copias. Es necesario desconectar el disco al acabar la copia, o hacerlo mediante protocolos que no impliquen crear unidades Microsoft (como FTP).
  • Contra la vulnerabilidad de Microsoft
    • Activar firewall personal en todos los ordenadores y servidores basados en Windows.
    • Desactivar, siempre que no sea imprescindible su uso, las opciones de “Uso compartido de archivos e impresoras para redes Microsoft” de tus tarjetas de red. Si compartes impresoras o ficheros, basta con desmarcar esta opción.
    • Asegurar que el servidor o el ordenador estén actualizados, y mantener una política de actualización adecuada. Específicamente descargar e instalar los parches de la vulnerabilidad MS17-10. Estos parches existen incluso para Windows XP, Vista, Server 2003, etc.
    • Segmentar la red, creando zonas aisladas (y solo cuando sea necesario) por los que puedan circular protocolos Microsoft. Se recuerda que estos protocolos viajan sobre los puertos 139 y 445.

Recuerda: Este ataque no es el primero, ni el último, ni el más grave. Solo es uno más. Estas medidas no son definitivas y no protegen contra todos los ataques. Se debe elaborar un plan de seguridad completo que incluya procesos, tecnología y vigilancia de la seguridad.

Desde Secure&IT estamos a tu disposición para darte soporte en la implantación y revisión de estas medidas de seguridad.

Comments

Comentarios desactivados