Los expertos en seguridad de Hornetsecurity dan las claves para evitar ataques como el causado por WannaCry en los últimos días.
En más de 150 países WannaCry causó severos daños: ante la ola de ataques a nivel mundial, se vieron afectados entre muchos otros: el servicio nacional de salud del Reino Unido, el fabricante de automóviles
Renault, e incluso también algunos departamentos de la empresa ferroviaria alemana
Deutsche Bahn fueron vulnerados.
Origen atribuido a la NSA
WannaCry es un software extorsivo que se transporta por email y de ahí se expande. De ser activado desde un dispositivo local, codifica los archivos allí existentes. Luego a los usuarios se les pide sumas de dinero para obtener nuevamente la clave de decodificación, lo cual no es aconsejado por los expertos en seguridad. En el caso de WannaCry el malware se aprovechó de un Exploit, cuyo origen se le atribuye ala Agencia de Seguridad Nacional de los Estados Unidos (NSA, por sus siglas en inglés) y que un grupo de hackers llamados “Shadow Brokers” descubrió y publicó.
Basado en Windows XP
Lo pérfido de WannaCry, es que el software malicioso se aprovecha de un punto de vulnerabilidad en el “protocolo del bloque de mensajes del servidor” (SMB, por sus siglas en inglés), para así expandirse y seguir infectando a otros sistemas de computación. Por este motivo, WannaCry ha alcanzado un grado alarmante de expansión a nivel mundial. WannaCry está basado en el viejo sistema operativo Windows XP, usado todavía con frecuencia. Por considerarse este desactualizado, su fabricante Microsoft no previó actualizaciones de seguridad para Windows XP, situación la cual ha cambiado drásticamente a raíz del éxito obtenido por WannaCry.
Recomendaciones
Hornetsecurity recomienda tomar las siguientes medidas de protección ante un ataque: empresas y personas que todavía utilizan el sistema operativo Windows XP, deben poner en uso el patch creado por Microsoft y actualizar el sistema. Incluso mejor, es la adopción de nuevos sistemas operativos con actualizaciones de seguridad activadas(al menos MS17-010). Añadido a esto, las empresas deben ajustar su Firewall de manera tal que el tráfico SMB que ingrese a través del puerto 445, así como el tráfico TOR saliente de la red corporativa, sea bloqueado. En términos generales, los expertos en seguridad de Hornetsecurity recomiendan examinar minuciosamente correos electrónicos que contengan facturas y antes de abrirlos, verificar al menos con un escáner de virus las posibles vinculaciones con archivos de Office, Scripto ficheros ejecutables (archivo portable ejecutable, PE). Gracias al escaneo y reescritura de URL, el ATP de Hornetsecurity como protección integral ante nuevos tipos de amenazas, realiza un análisis profundo de los URLs contenidos en los correos electrónicos.
Patrones de análisis dinámicos
Hornetsecurity Advanced Threat Protection (ATP) ha detectado el novedoso ransomware desde el primer indicio, a través de patrones de análisis dinámicos detectados en el Sandbox y colocados en cuarentena. Análisis posteriores de WannaCry por parte de especialistas en seguridad de Hornetsecurity, aseveraron que el software instala una variante del Backdoor DOUBLEPULSAR, mediante la cual se filtra el código malicioso. Seguidamente el programa codifica los diversos archivos y les añade la terminación “.wncry”, así por ejemplo, al archivo finanzas.xlsx lo convierte en finanzas.xlsx.wncry. Debido a esto, los archivos se vuelven inservibles al usuario. Al mismo tiempo los hosts infectados empiezan a formar parte de una botnet, controlada a su vez por la red de enrutamiento de cebolla (TOR, por sus siglas en inglés).