Cómo funciona un ciberataque con ransomware

El viernes 12 de mayo de 2017 no será una jornada fácil de olvidar para jefes de proyectos, administradores de sistemas, técnicos en seguridad y por lo general, empleados de cientos de empresas que vieron como su trabajo se veía potencialmente alterado por un “virus” llamado Ransomware.

En España, fue Telefónica la que dio las primeras muestras de que algo estaba ocurriendo con tweets y audios provenientes desde su interior que mostraban una posible infección de sus equipos y peticiones de desconexión de los ordenadores, pero antes de anticiparnos a lo ocurrido, vamos a aclarar el “núcleo” de todo lo ocurrido, ese malware cada vez más escuchado Ransomware .

¿Qué es un Ransomware?

Un Ransomware es un tipo de malware cuyo principal objetivo será cifrar la información contenida en el sistema o equipo, atacando directamente a la disponibilidad de esta información . Como su propio nombre indica “Ransom: Rescate”, exige un pago para poder recuperar dicha información, algo similar a un secuestro de los datos contenidos en el propio equipo.

Existen distintas variedades de este malware, cada una con sus características y peculiaridades, pero la finalidad siempre recae en una motivación económica por parte del atacante y la desesperación de la víctima de recuperar sus datos a los cuales ya no puede acceder.

La primera pregunta será el vector del ataque, el cual suele ser un ejecutable (.exe) proveniente de un correo malintencionado de “Phishing” que intentará engañar al usuario haciéndole creer que se trata de un informe PDF, una actualización a instalar que le piden desde su departamento de informática o cualquier otro método de Ingeniería Social que busca que dicha persona ejecute el malware en cuestión.

[BANNER_SUSCRIPCION]

Una vez ejecutado dicho malware, éste se comunicará con algún servidor o dominio remoto (perteneciente a los atacantes) donde negociará una “clave” que será la que utilizará para cifrar toda la información del equipo de la víctima. Dependiendo del tipo de Ransomware y la versión cifrará unas extensiones u otras (.doc, .pdf, .jpg, .mp3…) añadiéndole también al archivo una nueva extensión identificativa de cada Ransomware. Por ejemplo, cuando cifre el archivo patenteImportante.pdf se convertiría en patenteImportante.pdf.crypt dejándolo completamente inservible e ilegible.

Lo siguiente será mostrarle por pantalla a la víctima un mensaje parecido al siguiente:

Tal y como se puede apreciar, avisa que la información personal ha sido cifrada y que la única forma de descifrarla será utilizando una clave que solo los atacantes poseen. Para obtener dicha clave habrá que hacer un pago, cuya cantidad puede variar dependiendo del ataque pero que suele ser en la mayoría de los casos unos 300 dólares, y solo se dispone de tres días para realizarlo, posterior a esa momento borrarán dicha clave y por tanto no será posible recuperar la información.

Una vez sabemos lo que es un Ransomware, que ataca a la disponibilidad de los datos y que busca una compensación económica, podremos entender mejor lo acontecido el pasado viernes 12 de mayo.

Amenaza real y extendida

Tal y como se comentó al principio del post, las primeras noticias provenían desde Telefónica pero pronto se vio que estaba sucediendo no solo a nivel nacional sino a nivel global, viéndose afectadas empresas de toda índole a lo largo del mapa tal y como recogía Europol :

• Francia : Renault suspendió la producción en varias plantas.
• China : La agencia oficial Xinhua afirma que algunas escuelas y universidades se han visto afectadas.
• Alemania : Afectó a la compañía de trenes Deutsche Bahn aunque no alteró el tráfico ferroviario.
• España : Telefónica no fue la única que se vio afectada, personal corporativo de otras compañías como KPMG, BBVA, Santander, Iberdrola o Vodafone se hicieron eco a través de algunas redes sociales.
• Reino Unido : Sin duda, uno de los países más afectados ya que afectó a la sanidad, alterando el funcionamiento de muchos hospitales hasta tal punto de tener que enviar a los pacientes a otros hospitales según el servicio nacional de salud (NHS). Una planta del fabricante japonés Nissan también se vio afectada al noreste del país.
• Estados Unidos : La empresa de paquetería Fedex reconoció que estaban teniendo problemas en algunos de sus equipos con sistemas Windows a causa de un “malware”.
• Brasil : El Tribunal de Justicia y el Instituto Nacional de Seguridad Social apagaron los servidores y suspendieron la atención al público según informa O Globo.

MalwareTech mostraba como se iban extendiendo los casos y equipos afectados a lo largo del mapa:

Centrándonos un poco más en esta versión de WannaCryptor , la cual llevaba unos dos meses rondando alguna que otra campaña pero sin causar mucho ruido, ¿a qué se debe que de repente afecte a miles de servidores a lo largo de todo el mundo?.

Investigadores comenzaron a señalar al exploit “ EternalBlue ” y la puerta trasera “ DoublePulsar ” como posibles causas de este ataque. Dicho exploit fue publicado por Shadow Brokers a mediados de abril junto con otros más cuyo objetivo serían los sistemas operativos Microsoft Windows y que presuntamente fueron robados a la NSA (Agencia de Seguridad Nacional de los Estados Unidos).

Vector del ataque

Tal y como se comentó anteriormente, las amenazas ransomware aprovechan los correos electrónicos acompañados de ingeniería social como vector de ataque, pero no suelen propagarse tan rápidamente. Sin embargo, se ha incorporado a este Ransomware el código de explotación para la vulnerabilidad SMB EternalBlue (CVE-2017-0145) , que permite atacar la versión SMBv1 de NETBIOS . Esta vulnerabilidad fue resuelta en el boletín de seguridad MS17-010 publicado por Microsoft a mediados de marzo de 2017.

Para aquellos que no conozcan qué es SMB (Server Message Block) , es un protocolo de red que permite la comunicación entre equipos Microsoft Windows para compartir archivos, impresoras, conexión con distintos dispositivos de red, etc… que lo convierte en un medio de transporte perfecto para una propagación dentro de una red.

La explotación de WannaCrypt ha sido diseñada para afectar a sistemas Windows 7 y Windows Server 2008 (o anteriores) sin parches. Todo esto apunta a que el vector de ataque ha podido ser el siguiente en la mayoría de los casos:

• Ingeniería social en correos de Phishing buscando la ejecución de este Ransomware por parte de algún trabajador, activando de este modo, la búsqueda dentro de la red de equipos que pueda explotar la vulnerabilidad SMB y así difundirse.
• La infección de los equipos colindantes a través de SMB por no estar parcheados.

Se puede utilizar la herramienta web Shodan , vista en el curso de Introducción al Hacking Ético , filtrando por el puerto 445 abierto y se podrá ver la gran cantidad de servidores publicados en internet con este puerto a la escucha y versión SMBv1, siendo vulnerables todos aquellos que no hayan sido parcheados correctamente.

Wannacrypt y su propagación

Una vez un equipo ha sido infectado, el primer paso para la propagación del mismo será intentar explotar la vulnerabilidad SMB EternalBlue en equipos que se encuentren en su misma red. En todos aquellos en los que consiga explotar dicha vulnerabilidad satisfactoriamente, se ejecutará el Ransomware WannaCrypt.

El malware intenta conectar con el siguiente dominio (hasta entonces no registrado):

• hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

Si la conexión es exitosa, el ransomware no infectará al sistema y tampoco intentará propagarse a otros sistemas. Por otro lado, si la conexión falla, el malware si se ejecutará comenzando a cifrar todos los archivos y continuará con su propagación. En otras palabras, el bloqueo mediante un Firewall de dicho dominio no aportará medida de contención ninguna ya que al no tener respuesta del mismo continuará con su ejecución.

Como todos los Ransomware, una vez ejecutado comienza a realizar ciertas acciones entre las que destacan las siguientes:

Crea los siguientes registry keys :

• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\ = “ \tasksche.exe”
• HKLM\SOFTWARE\WanaCrypt0r\\wd = “ ”

Cambia el fondo del escritorio:

• HKCU\Control Panel\Desktop\Wallpaper: “ \@WanaDecryptor@.bmp”

Crea una serie de archivos en el directorio del malware:

• 00000000.eky
• 00000000.pky
• 00000000.res
• 274901494632976.bat
• @Please_Read_Me@.txt
• @WanaDecryptor@.bmp
• @WanaDecryptor@.exe
• b.wnry
• c.wnry
• f.wnry
• m.vbs
• msg\m_bulgarian.wnry
• msg\m_chinese (simplified).wnry
• msg\m_chinese (traditional).wnry
• msg\m_croatian.wnry
• msg\m_czech.wnry
• …

Comienza el cifrado de todos los archivos con las siguientes extensiones y las renombra añadiéndole la extensión .WNCRY :

.123, .jpeg , .rb , .602 , .jpg , .rtf , .doc , .js , .sch , .3dm , .jsp , .sh , .3ds , .key , .sldm , . 3g2 , .lay , .sldm , .3gp , .lay6 , .sldx , . 7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .max , .sql , .ARC , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .mid , .stc , .asm , .mkv , .std , .asp , .mml , .sti , .avi , .mov , .stw , .backup , . mp3 , .suo , .bak , .mp4 , .svg , .bat , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .msg , .sxd , .bz2 , .m yd , .sxi , .c , .myi , .sxm , .cgm , .nef , .sxw , .class , .odb , .tar , .cmd , .odg , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .odt , .tiff , .csr , .onetoc2 , .txt , .csv , .ost , .uop , .db , .otg , .uot , .dbf , .otp , . vb , .dch , .ots , .vbs , .der” , .ott , .vcd , .dif , .p12 , .vdi , .dip , .PAQ , .vmdk , .djvu , .pas , .vmx , .d ocb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .dot , .php , .wav , .dotm , .pl , .wb2 , .dot x , .png , .wk1 , .dwg , .pot , .wks , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .pst , .xlw , .jar , .rar , .zip , .java , .raw

Por último genera el archivo “ @Please_Read_Me@.txt ” en todas las carpetas donde ha cifrado archivos que contiene el mensaje que indica que se han cifrado los archivos importantes, además ejecuta una nota con un temporizador que indica el tiempo restante para realizar el pago y obtener la clave de descifrado.

Dicha nota se pudo ver en los primeros Tweets compartidos por algunas empresas como se puede ver en la siguiente imagen:

¿Prevenciones y soluciones?

Como en la mayoría de los casos en los que ves un equipo infectado, los dolores de cabeza aparecen al instante, pero en concreto en este el tiempo es fundamental . Tras ver cómo se propaga este Ransomware, es comprensible medidas como apagar equipos inmediatamente, desconectar VPN y servicios compartidos e incluso “tirar del cable” lo más rápido posible.

La vulnerabilidad que se ha aprovechado CVE-2017-0145 fue resuelta por Microsoft Windows en marzo con la publicación de los parches correspondientes para los sistemas operativos afectados, incluso se han sacado parches para sistemas operativos que ya no disponen de soporte como son Windows XP y Windows Server 2003 para evitar males mayores.

Esto se puede considerar el 50% del trabajo, el otro 50% corresponde a los administradores de los equipos actualizando los mismos para que queden protegidos ante dicha vulnerabilidad. En este punto me gustaría recalcar un punto muy importante, hay actualizaciones que requieren un reinicio del equipo. Son muchos los casos en los que en equipos de producción para evitar el corte del servicio no se actualizan o lo que es peor, se actualizan y no se reinician, por lo que todas aquellas actualizaciones que requieran que el sistema operativo arranque desde cero no se llegan a aplicar completamente por lo que siguen siendo igualmente vulnerables.

Situándonos en el peor caso, se ha infectado uno o más equipos, ¿qué puedo hacer ahora?. Es importante que el primer punto, que permitirá respirar tranquilamente, es saber que dispones de backups recientes (copias de seguridad) de dichos servidores, por lo que una restauración de dicho servidor a un snapshot anterior a la infección puede solucionar el problema. En el temido caso de no disponer de copias de seguridad, se complica considerablemente la posibilidad de poder recuperar dicha información ya que será necesaria la clave para revertir el cifrado.

En versiones antiguas de Ransomware, la clave de cifrado podía venir en el propio código del malware por lo que se podrían recuperar los archivos afectados con cierta facilidad. Para aquellos casos en los que no esté, existen iniciativas como nomoreransom.org donde distintas empresas de seguridad y organismos de países trabajan conjuntamente proporcionando herramientas que puedan ayudar al descifrado de algunos Ransomware.

Siempre existe la posibilidad, no recomendable de realizar el pago del “secuestro” a los atacantes. Nadie garantiza que una vez realizado el pago (no rastreable mediante bitcoins) se envíe la clave de descifrado a la víctima, por lo que hay probabilidad de perder los datos y el dinero. Además se incentiva a los atacantes que este tipo de malware es rentable por lo que cada vez será más habitual.

Todo esto nos ayuda a entender la importancia de un buen plan de contingencia con backups continuos (y comprobación de que los mismos se están realizando correctamente y se pueden restaurar sin problemas) entre otras medidas. Para aquellas empresas que aun no lo apliquen, es un buen momento para instaurar estos procedimientos.

Destacar el gran trabajo de los investigadores @MalwareTechBlog y @darienhuss que por unos pocos dólares obtuvieron el dominio que consultaba el malware y comenzaron a responder las peticiones de los equipos que se estaban infectando, paralizando así la propagación del mismo a lo largo de más empresas y organizaciones. Como opinión personal creo que este ataque ha sido un “aperitivo” de algo más gordo ya que el dinero que se ha obtenido con el mismo no es mucho para la repercusión que ha obtenido, pero si ha servido para demostrar la poca concienciación por parte de la población en este aspecto y lo fácil que ha sido con correos de Phishing impedir que en muchos países, bastantes empresas hayan podido dormir tranquilas. Recordar que el ransomware es evidentemente un ataque “muy visible”, ¿cómo sabemos que el siguiente ataque será un troyano que se ejecute sin ser percibido?, espiando la actividad, creando botnets, obteniendo información personal… Creo que este viernes ha podido ser un buen punto de inflexión para lo que está por venir.