El ataque sufrido en muchas empresas a partir del viernes nos ha hecho reflexionar sobre la importancia de la concienciación en ciberseguridad para tener de manera adecuada y segura nuestros sistemas. Dicho ataque ha sido categorizado como ransonware como explicábamos en el articulo de ayer y más concretamente en una de sus variantes diseñada para tener las repercusiones que hemos observado…WannaCry.
Después de todas las informaciones que se han dado, tanto en los principales medios de comunicación como en redes sociales, y ver que ha afectado a más de 70 países, la principal pregunta que se realizan las empresas es: ¿cómo ha podido llegar este malware a sus equipos? Aunque en cada una de ellas ha podido suceder de una forma distinta son estos algunos de los posibles focos de entrada de WannaCry:
- Un mail con un enlace a una pagina donde se descargue el malware
- Un mail con un archivo adjunto que tiene incrustado el malware
- Tener abierto el puerto 445 de nuestros sistemas a Internet y no tener parcheada la vulnerabilidad explotada (MS17-10)
- Acceso mediante enlaces o redirecciones a las páginas referenciadas en el punto 1) desde páginas legítimas.
Como podemos observar los posibles puntos de entrada son múltiples, aunque la mayoría de las empresas apuntan a que las responsables de sus infecciones son las dos primeras a través de spam masivos a todo el mundo.
El problema real y que ha conseguido la magnitud vista del ataque es la expansión del mismo dentro de una red LAN, aparte de realizar un secuestro de tu ordenador como explicábamos en el articulo anterior, posee un módulo que escanea la red LAN en busca de la vulnerabilidad referenciada en el punto 3 y si la misma no esta parcheada se propaga a otros sistemas, cuando llega a la nueva máquina afectada vuelve a escanear la red y se vuelve a expandir y así indefinidamente dentro de la propia red interna de la empresa, por lo que en cuanto se infecte un ordenador están en potencial peligro todos los sistemas a los que puede acceder el mismo dentro de la LAN.
Por ello, y por la manera que se expande el mismo, la empresas afectadas decidieron cortar sus comunicación y desconectar sus equipos de la red, como única posible defensa ante un ataque de la magnitud que estamos tratando hasta que se parchearan los sistemas y se pudieran volver a conectar.
En el caso que nos ocupa, tener un antivirus actualizado en versión y en firmas no hubiera sido suficiente para evitar este ataque ya que las grandes marcas de antivirus no lo detectaban en ese momento (ahora gracias a la colaboración de la comunidad si es detectado).
Si se hubiera realizado un análisis de vulnerabilidades en los sistemas afectados, se hubiera detectado la falta del parche MS17-10 y siguiendo las recomendaciones del mismo se hubiera instalado el parche en los sistemas, aunque no se hubiera evitado el ataque principal se hubiera evitado la expansión del mismo. Desde Áudea recomendamos con urgencia instalar este parche de seguridad para evitar que pueda llegar a nuestros equipos por estar en una red con algún equipo infectado.
Las empresas se tienen que concienciar que la ciberseguridad no es un gasto sino una inversión y realizar esta tareas de forma periódica para así poder prevenir este tipo de fallos de seguridad y poder evitar en la medida de lo posible este tipo de ataques ya que los atacantes vuelven a ir un paso por delante, deberemos intentar tener la mejor defensa en nuestras organizaciones.
Fernando Saavedra
Responsable Técnico de Ciberseguridad