[17/09/2022] WannaCry es un gusano de ransomware que se propagó rápidamente a través de una serie de redes informáticas en mayo del 2017. Después de infectar una computadora con Windows, cifra los archivos en el disco duro de la PC, lo que hace que los usuarios no puedan acceder a ellos, y luego exige el pago de un rescate en bitcoins para descifrarlos.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Varios factores hicieron que la propagación inicial de WannaCry fuera particularmente notable: afectó a varios sistemas importantes y de alto perfil, incluyendo muchos sistemas del Servicio Nacional de Salud de Gran Bretaña; explotó una vulnerabilidad de Windows que se sospecha fue descubierta por primera vez por la Agencia Nacional de Seguridad de Estados Unidos; y Symantec y otros investigadores de seguridad lo vincularon tentativamente con Lazarus Group, una organización de ciberdelincuencia que puede estar conectada con el gobierno de Corea del Norte.
Cómo funciona WannaCry
El ejecutable del ransomware WannaCry funciona de manera sencilla y no se considera particularmente complejo o innovador. Llega a la computadora infectada en forma de dropper, un programa autónomo que extrae los otros componentes de la aplicación incorporados dentro de sí mismo. Esos componentes incluyen:
- Una aplicación que cifra y descifra datos
- Archivos que contienen claves de cifrado
- Una copia de Tor, utilizada para las comunicaciones de comando y control con la banda de ransomware
Cualquiera que sea el código fuente original de WannaCry, no ha sido encontrado ni puesto a disposición de los investigadores, aunque es bastante fácil para ellos examinar la ejecución del binario. Una vez lanzado, WannaCry intenta acceder a una URL codificada de forma rígida; este es un interruptor de emergencia, y lo discutiremos con más detalle en un momento. Si el ransomware puede conectarse a esa URL, se cierra; si no puede, procede a buscar y cifrar archivos en una gran cantidad de formatos importantes, que van desde archivos de Microsoft Office hasta MP3 y MKV, dejándolos inaccesibles para el usuario. Luego muestra un aviso de rescate, exigiendo algo de Bitcoin -una cantidad poco escandalosa- a menudo cerca de 300 dólares, para descifrar los archivos.
¿Cómo se propaga WannaCry?
WannaCry se propaga a través de una falla en la implementación de Microsoft Windows del protocolo Server Message Block (SMB). El protocolo SMB ayuda a varios nodos en una red a comunicarse, y una versión sin parches de la implementación de Microsoft podría ser engañada por paquetes especialmente diseñados para ejecutar código arbitrario, un exploit conocido como EternalBlue.
El hecho de que este ejecutable, bastante ordinario, se propague a través de EternalBlue es, en última instancia, más interesante que el propio ransomware. Se cree que la Agencia Nacional de Seguridad de Estados Unidos descubrió esta vulnerabilidad y, en lugar de informarla a la comunidad de seguridad de la información, desarrolló el código EternalBlue para explotarla. Este exploit fue a su vez robado por un grupo de hackers conocido como Shadow Brokers, que lo lanzó oculto en una publicación de Medium, aparentemente política, el 8 de abril del 2017. Microsoft mismo había descubierto la vulnerabilidad un mes antes y había lanzado un parche, pero muchos sistemas seguían sin parchar y eran vulnerables, así que WannaCry, con la ayuda de EternalBlue, comenzó a propagarse rápidamente el 12 de mayo. A raíz del brote, Microsoft criticó al gobierno de Estados Unidos por no haber compartido antes su conocimiento de la vulnerabilidad.
El interruptor de eliminación de WannaCry
El interruptor de eliminación de WannaCry es una función que requiere que el ejecutable intente acceder a la larga y complicada URL iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com antes de que comience el proceso de encriptación. De manera un tanto contraria a lo que se podría intuir, WannaCry solo continúa con su misión de ransomware si no logra conectarse al dominio; si se puede conectar, se apaga solo.
El propósito de esta funcionalidad no está del todo claro. Algunos investigadores inicialmente creyeron que se suponía que esto era un medio para que los creadores del malware desconectaran el ataque. Sin embargo, Marcus Hutchins, el investigador de seguridad británico que descubrió que WannaCry estaba intentando comunicarse con esta URL, cree que estaba destinado a dificultar el análisis del código. Muchos investigadores ejecutarán malware en un ambiente de "caja de arena”, desde el cual aparecerá accesible cualquier URL o dirección IP; al codificar en WannaCry un intento de contactar a una URL sin sentido, que en realidad no se esperaba que existiera, sus creadores esperaban asegurarse de que el malware no se pusiera a prueba para que los investigadores lo observaran.
Hutchins no solo descubrió la URL codificada, sino que pagó 10,96 dólares para registrar el dominio y configurar un sitio allí. Como resultado, muchas instancias de WannaCry nunca terminaron cifrando las computadoras que infectaron, y esto ayudó a mitigar, aunque no a detener, la propagación del malware.
Poco después de ser aclamado como un héroe por esto, Hutchins fue arrestado por ayudar a desarrollar diferentes programas maliciosos en el 2014. Finalmente, se declaró culpable de cargos relacionados, y el juez del caso no le exigió que cumpliera tiempo en la cárcel más allá de su prisión preventiva, alegando que estaba claro que había "pasado la página” en su vida.
Cómo evitar el ransomware WannaCry
El ransomware WannaCry se puede evitar descargando el parche apropiado para su versión de Windows de Microsoft, y la forma más fácil de hacerlo es simplemente actualizar su sistema operativo a la versión más reciente. Irónicamente, el parche necesario estaba disponible antes de que comenzara el ataque: Microsoft Security Bulletin MS17-010, publicado el 14 de marzo del 2017, actualizó la implementación de Windows del protocolo SMB para evitar infecciones a través de EternalBlue. A pesar de que Microsoft había marcado el parche como crítico, muchos sistemas aún no estaban parchados en mayo del 2017, cuando WannaCry comenzó a propagarse rápidamente.
Para aquellos sistemas sin parches que están infectados, hay poco remedio más allá de restaurar archivos desde una copia de seguridad segura, así que dejemos que eso sea una lección de que siempre debe hacer una copia de seguridad de sus archivos. Si bien quienes monitorean las billeteras bitcoin identificadas en el mensaje de extorsión afirman que algunas personas están pagando el rescate, existe poca evidencia de que estén recuperando el acceso a sus archivos.
Cómo detectar WannaCry
WannaCry se puede detectar observando de cerca los registros de su sistema y el tráfico de red. Debido a que WannaCry no se activará si puede ponerse en contacto con la URL del "interruptor de eliminación”, puede estar al acecho en su infraestructura sin cifrar necesariamente sus archivos, por lo que, si tiene máquinas con Windows sin parchar, es una buena idea tratar de detectarlo antes de un cambio en las circunstancias hacen que se active.
SolarWinds tiene un buen manual sobre el uso de los registros de su servidor para detectar las actividades de WannaCry. Le aconsejan que busque la creación de archivos, específicamente para cifrar archivos con la propia extensión de documento de WannaCry, y que esté atento al tráfico saliente para los puertos SMBv1 TCP 445 y 139, así como las consultas de DNS para el dominio del interruptor de apagado. Positive Technologies afirma que también debería buscar conexiones a la red Tor en los puertos 9001 y 9003.
WannaCry y Windows 10
Como se señaló, Microsoft lanzó un parche para la vulnerabilidad SMB que WannaCry explota dos meses antes de que comenzara el ataque. Si bien los sistemas Windows 10 sin parches eran vulnerables, la función de actualización automática integrada en el sistema operativo significaba que casi todos los sistemas Windows 10 estaban protegidos en mayo del 2017.
Inicialmente, el parche SMB de Microsoft solo estaba disponible para las versiones compatibles actualmente de Windows, que en particular excluían a Windows XP. Todavía existen millones de sistemas Windows XP conectados a Internet, incluso en el Servicio Nacional de Salud de Gran Bretaña, donde se reportó que se produjeron muchos ataques de WannaCry, y Microsoft finalmente hizo que el parche SMB también estuviera disponible para versiones anteriores del sistema operativo. Sin embargo, un análisis posterior encontró que la gran mayoría de las infecciones de WannaCry afectaron a las máquinas que ejecutan Windows 7, un sistema operativo aún compatible cuando WannaCry estaba en su apogeo.
¿Quién creó WannaCry?
La firma de seguridad Symantec creía que el código detrás de este malware podría tener un origen norcoreano. Señalaron al Lazarus Group como los culpables detrás de WannaCry, un grupo de hackers que ha sido vinculado a Corea del Norte. Comenzando su carrera en el 2009 con ataques DDoS crudos en las computadoras del gobierno de Corea del Sur, se han vuelto cada vez más sofisticados, hackeando a Sony y realizando robos a bancos.
Symantec hizo esta identificación en una publicación de blog a fines de mayo del 2017, solo unas pocas semanas después de que WannaCry comenzara a propagarse rápidamente. En diciembre del 2017, Tom Bossert, quien en ese momento era el asesor de seguridad nacional de Estados Unidos, escribió un artículo de opinión en el Wall Street Journal, en el que señaló que el gobierno de Estados Unidos estaba de acuerdo con esta evaluación.
¿Cómo empezó WannaCry?
WannaCry explotó en Internet el 12 de mayo del 2017, aprovechando EternalBlue, pero la publicación inicial del blog de Symantec sobre los orígenes de WannaCry también reveló información importante, y poco conocida, sobre cómo se inició el malware incluso antes de eso. De hecho, WannaCry había estado circulando durante meses antes de que fuera imposible evitarlo. Esta versión anterior del malware se denominó Ransom.Wannacry, y Symantec notó "puntos en común sustanciales en las herramientas, técnicas e infraestructura utilizadas por los atacantes” entre esta versión de WannaCry y las utilizadas por Lazarus Group, que es cómo Symantec le atribuyó el ataque a los norcoreanos.
Sin embargo, Ransom.Wannacry usó credenciales robadas para lanzar ataques dirigidos en lugar de EternalBlue, lo que significó que su propagación fue mucho menos virulenta y dramática. Se supone que el Lazarus Group dirigió el cambio a EternalBlue como un mecanismo de distribución.
¿Todavía existe WannaCry?
WannaCry todavía existe y continúa propagándose e infectando computadoras, lo que en la superficie puede ser una sorpresa. Después de todo, si bien el exploit EternalBlue es poderoso, solo funciona en máquinas con Windows que no han recibido el parche adecuado, y ese parche está disponible de forma gratuita para todos los usuarios de Windows (¡incluso para los usuarios de Windows XP!) y lo ha estado durante años. Pero los profesionales de TI saben que muchas organizaciones no se mantienen al día con los parches, ya sea por falta de recursos, falta de planificación o temor de que la actualización de un sistema existente cause tiempo de inactividad o interfiera con el software crucial en ejecución.
Desafortunadamente, esta es una receta para el caos y ha dado como resultado infecciones de WannaCry, totalmente evitables, en los años transcurridos desde que el malware apareció por primera vez. Por ejemplo, en marzo del 2018, Boeing fue atacada con un presunto ataque de WannaCry. Sin embargo, la compañía afirmó que causó pocos daños y afectó solo a unas pocas máquinas de producción. Boeing pudo detener el ataque y recuperar los sistemas afectados rápidamente, pero una empresa del tamaño y la estatura de Boeing debería haber tenido los parches adecuados en ese momento.
Con el paso de los años, WannaCry siguió siendo una amenaza perniciosa. Un informe de mayo del 2019, dos años completos después de que el parche EternalBlue estuvo disponible, encontró que el 40% de las organizaciones de atención médica y el 60% de los fabricantes habían experimentado al menos un ataque de WannaCry en los seis meses anteriores. Esto llevó a Ben Seri, vicepresidente de investigación de Amris, a declarar que WannaCry era "todavía inmanejable”.
Esa tendencia aún continúa hoy. La actual pandemia de COVID-19 ha convertido a los proveedores de atención médica en un objetivo particularmente tentador para las pandillas de ransomware, generando una oleada de ataques de WannaCry a principios del 2020. Check Point Research descubrió que la cantidad de organizaciones afectadas por WannaCry mostró un incremento de 53% en el 2021. Algunos han preguntado cómo se detuvo WannaCry; la respuesta es que, si bien los parches desaceleraron su propagación, aún no se ha detenido.
Todo el malware basado en EternalBlue explota la misma vulnerabilidad de Windows, por lo que el hecho de que estos ataques continúen sugiere que todavía hay muchos sistemas de Windows sin parchar. Es solo cuestión de tiempo antes de que un atacante los encuentre. No permita que su infraestructura termine en su lista.
Basado en el artículo de Josh Fruhlinger (CSO) y editado por CIO Perú
Puede ver también: