Combatir el virus “WannaCry”

Seguro que te han llegado una gran cantidad de noticias en pocas horas sobre el virus “WannaCry” y como ha afectado y paralizado ordenadores en más de 150 países. Un ciberataque que ha afectado a importantes empresas españolas. Se tratan de activar mecanismos de protección ante el temor de que se reactive la infección, que arrancó el viernes a mediodía, y que ha alcanzado dimensión global, con decenas de miles de ordenadores afectados, cerca de 200.000, según Europol. Desde diversas fuentes se advierte de que nuevas versiones del malware se propagarán con bastante probabilidad desde este lunes. A continuación, se explica en detalle en qué consiste este ataque y cómo podemos prevenirlo.

 

Sobre el Virus WannaCry:

Se trata de un ataque de tipo ransomware (cifrado de archivo para solicitar un rescate económico). Hasta aquí solo podríamos decir que es uno de tantos ransomware a los que, lamentablemente, ya nos tienen acostumbrados los ciberdelincuentes. Este ransomware fue distribuido, como es habitual, mediante correo electrónico, en un correo SPAM, con un asunto que invita al usuario a abrir el contenido adjunto. No es una variante de las más peligrosas. Simplemente, cifraba los ficheros y pedía unos 300 € para poder recuperar la información. Este ransomware establecía una conexión con un servidor de Internet (su creador) antes de actuar; un dominio que ha sido metido en una black-hole DNS (filtro de internet), con lo que ha sido desactivado.

Lo novedoso es que, además de la propia infección por ransomware, WannaCry explota una vulnerabilidad, ya publicada por Microsoft el día 14 de marzo (MS17-10 de Microsoft – https://technet.microsoft.com/en-us/library/security/ms17-010.aspx), y tiene la particularidad de que una vez infecta a un equipo comienza a propagarse por la red “como un gusano” (ransomworm), realizando conexiones al resto de equipos que no tengan su sistema operativo Windows completamente actualizado. El ransomware ya ha sido firmado por casi todos los fabricantes de antimalware y, además, como se indica anteriormente, ya ha sido neutralizado. Pero, esto no soluciona el problema, habrá nuevas modificaciones, nuevas versiones y nuevo malware, así que no podemos bajar la guardia.

En cuanto a la vulnerabilidad de Microsoft explotada por el malware, el fabricante ya había publicado parches para eliminarla. Ante la gravedad de la situación y el impacto mediático que ha tenido, Microsoft ha publicado también parches para sus sistemas basados en Windows XP, Windows Vista y Windows Server 2003, ya sin mantenimiento hace años. Toda la información aquí: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Por todo esto, podemos decir que la situación se ha generado por la combinación de estos cuatro ataques:

  • Un envío masivo de SPAM
  • Una ingeniería social que ha hecho que algunos usuarios abran un fichero desconocido
  • Un malware del tipo ransomware
  • La explotación en forma de “gusano” de una vulnerabilidad Microsoft

 

¿Qué debemos hacer?

Contra el SPAM:

  • Disponer de sistemas AntiSpam y Antimalware en el perímetro de la red (Firewalls), de modo que se minimice la probabilidad de que este tipo de correos lleguen al usuario. Independientemente del sistema de correo empleado (incluso en sistemas Cloud como Office 365), la seguridad no está garantizada. Hay que implementar medidas adicionales de seguridad en el correo electrónico. Lo ideal es disponer de una plataforma de Antispam dotada de “sandbox”, que ejecutará los ficheros sospechosos antes de que lo haga el usuario, reduciendo notablemente estas amenazas.

Contra la ingeniería social:

  • Concienciación por parte de los usuarios para que no abran emails sospechosos o dudosos y por supuesto sus adjuntos o enlaces.

Contra el Ransomware:

  • Disponer de un Antimalware/Antivirus actualizado.
  • Implementar un sistema con tecnología APT Blocker para una protección específica contra el Ransomware y amenazas desconocidas.
  • Disponer de una buena política de copias de seguridad, probada y con la periodicidad adecuada. En caso de infección, bastará con restaurar los ficheros.

Contra la vulnerabilidad de Microsoft:

  • Activar firewall personal en todos los ordenadores y servidores basados en Windows.
  • Desactivar, siempre que no sea imprescindible su uso, las opciones de “Uso compartido de archivos e impresoras para redes Microsoft”
  • Asegurar que el servidor o el ordenador estén actualizados, y mantener una política de actualización adecuada. Específicamente descargar e instalar los parches de la vulnerabilidad MS17-10 ( https://technet.microsoft.com/en-us/library/security/ms17-010.aspx ).
  • Estos parches existen incluso para Windows XP, Vista, Server 2003, etc.
  • Segmentar la red, creando zonas aisladas por los que puedan circular protocolos Microsoft (puertos 139 y 445).

 

Recuerda

Este ataque no es el primero, ni el último, ni el más grave. Solo es uno más. Estas medidas no son definitivas y no nos protegen contra todos los ataques. Se debe elaborar un plan de seguridad completo que incluya procesos, tecnología y vigilancia de la seguridad.

 

Desde NC SYSTEMS quedamos a tu disposición para darte soporte en la implantación y revisión de estas medidas de seguridad y asesorarte sobre cualquier duda que puedas tener.