WannaCry, NomoreCry y LatchArw

Después de la marejada, siempre llega la calma y la evaluación de daños. El ransomware Wannacry ha hecho que nos fijemos, tanto las grandes empresas, usuarios y sobre todo gobiernos, en el cibercrimen como un problema global.

El gran problema de los ransomware es la detección temprana y la rapidez con la que cambian el código interno las mafias para su aprovechamiento (había una mutación a los 2 días de salir Wannacry). Para protegerse hay que tomar unas medidas distintas a las habituales (antivirus y firewall) y empezar a proteger las carpetas de datos y los servicios a los que se accede.

Para esto hay dos aplicaciones, una es NomoreCry, disponoble en los servidores de ccn. La otra es LatchArw, desarrollada por Elevenpath y Telefónica, evolución de Latch para móviles, que nos permite tener una doble autenticación de nuestros datos.

Además podemos seguir las recomendaciones del Centro Criptográfico Nacional (CCN)

  • Informar y concienciar a todos los usuarios de los riesgos y amenazas que supone el Ransomware, de modo que su estado de consciencia, alerta y formación disminuyan la posibilidad de infección.
  • Mantener un sistema de copias de seguridad/respaldo actualizado, tanto de los sistemas locales como de las ubicaciones distantes. A ser posible deben mantenerse al menos dos (2) copias de seguridad en diferentes localizaciones y desconectadas del Sistema.
  • Deshabilitar las macros en los documentos de Microsoft Office y otras aplicaciones similares.
  • Deshabilitar Windows Script Host para evitar la ejecución de scripts en el Sistema. Para ello se pueden seguir los pasos descritos en el siguiente enlace de Microsoft: https://technet.microsoft.com/es-es/library/ee198684.aspx
  • Seguir las recomendaciones publicadas sobre protección del correo electrónico. (Ver Guía CCN-CERT BP-02/16)
  • Complementar el antivirus y cortafuegos personal con programas como AppLocker (bloqueo de ejecución de programas) y EMET (detección y bloqueo de técnicas de exploit).
  • Mantener una conducta de navegación segura, empleando herramientas y extensiones de navegador web completamente actualizadas que ayuden a prevenir ejecuciones no autorizadas de código en el navegador web. (Ver Guía CCN-CERT BP-06/16)
  • Activar la visualización de las extensiones de los ficheros para evitar ejecución de código dañino camuflado como fichero legítimo no ejecutable.
  • Configurar el UAC (User Access Control) de Windows de la forma más restrictiva posible, pidiendo siempre confirmación para la ejecución de aquellos procesos que requieran altos privilegios.
  • Mantener el sistema operativo y todas las soluciones de seguridad actualizadas, así como cortafuegos personal habilitado.

Wannacry. El ransomware total.

El pasado Viernes 12 de Mayo se produjo una de las mayores infecciones de virus de los últimos tiempos, afectando a más de 70 paises. El ransomware “Wannacry” (quiero llorar), que así se llama, Aprovecha una vulnerabilidad conocida desde hace 2 meses y propagándose por correo electrónico. El proceso es:

  • Spam masivo y explotación de la vulnerabilidad
  • Infección de la máquina
  • Escaneo de la red local buscando nuevas máquinas que infectar

La rapidez de propagación de esta infección viene dada por la reticencia de las grandes empresas a la actualización de los equipos con los parches de seguridad publicados por Microsoft, ya que en muchos casos un fallo del parche puede dar al traste con la productividad de la empresa, por lo que se prefería hacer frente a un posible problema de seguridad al más probable problema de incompatibilidad de un parche con algún servicio de la empresa. Hay que recordar que Microsoft recomienda tener un sistema de adaptación a las actualizaciones ante fallas.

Wannacry se basa en una herramienta desarrollada por la NSA (Agencia de Seguridad Americana ) que fue robada hace algunos meses por un grupo de hackers, por lo que a día de hoy el lío internacional también está servido.

Como recomendaciónes ante esta amenaza, tenemos:

  • Mantener nuestros equipos actualizados
  • No abrir correos extraños
  • Invertir en seguridad informática en las empresas
  • No creer que estamos al 100% seguros frente a ataques.

Por último, mi consejo es, no pagar nunca antes estas extorsiones.