‘Remedios’ para WannaCry: Segunda Oleada de Ataques: Cómo proteger a su negocio y sus usuarios

Más de 200.000 víctimas en 150 países han sido golpeadas por un enorme ciberataque internacional de ransomware llamado WannaCry.

EasySolutions, la compañía de la Protección Total contra Fraude, y ahora parte de Cyxtera Technologies, entregó un análisis de lo ocurrido con el ramsomware llamado WannaCry y algunas recomendaciones para protegerse.

El ransomware es un tipo de ataque que toma el control de un dispositivo y bloquea el acceso a los archivos, programas y operaciones. Luego los criminales informan a los usuarios que deben pagar cierta cantidad si desean recuperar el acceso a sus archivos bajo la constante amenaza de perder todos sus datos si eligen no pagar. “En el ataque WannaCry, los usuarios tenían tres días para realizar el pago antes de que aumentara el monto de la extorsión y siete días antes de que sus archivos se perdieran para siempre.”, comenta, Fernando Cuervo, experto en seguridad de EasySolutions.

Descripción cronológica de cómo llegamos a este punto…

• 14 de marzo – Microsoft lanzó un parche para corregir ciertas vulnerabilidades de su sistema operativo, el cual al parecer fue posiblemente revelado por la NSA. (https://www.nytimes.com/2017/05/14/world/europe/cyberattacks-hack-computers-monday.html)
• 14 de abril – The Shadow Brokers, un grupo de hackers que surgió en agosto de 2016, distribuyó distintas herramientas de hackeo que, según se dice, pertenecían a la NSA. También emitieron un mensaje donde expresaban motivaciones de carácter político para filtrar la información.
• 12 de mayo – Los computadores alrededor del mundo con sistemas operativos antiguos o que no hubieran sido actualizados con el parche de seguridad lanzado en marzo fueron afectados por el inmenso ataque. Entre los afectados estuvieron hospitales, universidades y agencias de gobierno.
• Un investigador en ciberseguridad del Reino Unido descubrió un interruptor de apagado o ‘killswitch’ en el código del ataque e inadvertidamente obstaculizó la propagación del malware en Estados Unidos. Sin embargo, este interruptor no fue capaz de ayudar a los sistemas que ya habían sido infectados, y es muy posible que los hackers lancen más ataques sin este interruptor incluido. (https://arstechnica.com/information-technology/2017/05/wanna-decryptor-kill-switch-analysis/)
• 15 de mayo – El número de víctimas continúa incrementándose a medida que los empleados retoman sus labores el lunes por la mañana. Además, el killswitch fue eliminado de la última variante, deshaciendo así el retraso de la infección que se había logrado hasta el momento.

Cómo los remedios para WannaCry son solo otro vector de fraude

El enorme alcance y potencial del ataque WannaCry ha causado comprensiblemente bastante pánico y tanto compañías como individuos tienen afán de proteger sus dispositivos. Sin embargo, este frenesí ha abierto nuevos caminos al fraude.

Uno de estos caminos es a través de aplicaciones móviles disponibles en tiendas de terceros. Si bien es cierto que existen distintas aplicaciones móviles que según dicen pueden proteger contra WannaCry, nuestros analistas descubrieron que algunas de ellas en realidad contenían adware. Así que en lugar de proteger los dispositivos, los estaban dañando.

El adware encontrado es un módulo llamado Adware.mobidash, el cual es usado por los atacantes para comprometer juegos y aplicaciones y sacar dinero de estos. Este adware tiene la capacidad de cargar sitios web con anuncios, mostrar mensajes falsos en la barra de notificaciones o modificar el servidor DNS. Esta última facultad es muy peligrosa, ya que a través de ella los cibercriminales pueden hacer que el dispositivo del usuario realice actividades no deseadas sin autorización. Para ocultar este peligroso comportamiento, el adware no realiza ninguna actividad maliciosa de forma inmediata, sino después de un tiempo.

Cómo proteger su negocio y sus usuarios finales – 3 recomendaciones clave:

Instale la actualización MS17-010 lanzada por Microsoft el 14 de marzo. Esto solucionará las vulnerabilidades que están siendo explotadas por WannaCry.

Instruya a sus empleados sobre cómo identificar y reportar phishing.

Despliegue una política DMARC para reducir emails de spearphishing dirigidos al personal (WannaCry se transmite a través de emails).

“En EasySolutions hemos publicado muchos blogs sobre confianza digital, noticias falsas y toda clase de trucos maliciosos usados por los criminales para atraer la atención de los consumidores y hacer que hagan clic en enlaces. Esta es un área que continúa fascinándonos: cuán sofisticada se ha convertido la manipulación del factor humano.Solo será cuestión de tiempo para que veamos al malware WannaCry expandirse aún más para engañar a los usuarios y quizás hacerlos instalar un parche que supuestamente prevenga un nuevo y masivo ataque de ransomware. No obstante, este no será ningún parche, sino alguna versión o variante de un temible malware financiero”. Cierra el ejecutivo.