Recomendaciones y buenas prácticas para Ransomware WannaCry

El ataque masivo del pasado viernes 12 de Mayo ya es globalmente conocido. Un ransomware conocido como WannaCry/WannaCrypt0r se ha extendido a escala mundial aprovechando una vulnerabilidad publicada por Microsoft el 14 de marzo de 2017, descrita en el boletín como MS17-010 y conocida como “EternalBlue”.

¿Cómo se ha propagado?
WannaCry actúa de forma similar a un gusano, es decir, intenta propagarse por la red. Para ello, explota una vulnerabilidad de SMB “EternalBlue” (con CVE-2017-0145) que afecta a los mensajes de la verisón 1 de SMB (SMBv1). Escanea tanto la red interna como externa, realizando conexiones en el puerto 445 en busca de equipos no actualizados.

¿Qué causas tiene su infección?
Cuando se ha ejecutado el código dañino en el pc infectado, WannaCry comprueba si existe un dominio concreto en Internet, en el caso que éste exista, finaliza su ejecución. En el caso que no exista, empieza su tarea creando servicios de sistema, entradas en el registro de Windows, varios hilos para distintas tareas, y finalmente cifra todos los archivos encontrados que cumplen un patrón de extensión en todas las unidades que encuentre en el sistema infectado. Mientras, procede a infectar nuevas máquinas como se explica en el punto anterior.

¿Se sigue propagando?
En estos momentos, se ha detenido parcialmente su propagación, ya que se ha registrado el dominio al cual WannaCry hace peticiones, gracias a un investigador en ciberseguridad, que fue quien dio de alta éste dominio.

I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.

— MalwareTech (@MalwareTechBlog) 13 de mayo de 2017

No obstante, es importante estar preparado, ya que se está hablando de nuevas versiones dónde no exista un “kill switch”.

¿Puede afectar a mis PCs de planta?
La respuesta es Sí, de hecho, éstos son los PCs que acostumbran a ser más vulnerables, debido a la falta de actualización y parcheo que sufren, y a la gran utilización de sistemas operativos antiguos.

Todas las versiones de Windows hasta Windows 8 y WServer 2012 son vulnerables sin el parche. Eso incluye todos los Windows Server 2003, Windows Server 2008, Windows Vista, XP y Windows 7. OS ampliamente extendidos en planta y en los cuáles, la actualización automática de parches acostumbra a estar desactivada.

¿Qué debo hacer?
A continuación, se separan las acciones en dos bloques: prevención y detección.

1.Acciones de Prevención
a.Instalar de forma inmediata el parche de Microsoft para la vulnerabilidad MS17-010:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
b.Deshabilitar protocolos antiguos incluyendo SMBv1.
c.Bloquear las conexiones entrantes a puertos SMB (139 y 445) desde equipos externos a la red.
d.Aislar en la medida de lo posible equipos son Windows no soportados.
e.Actualizar las bases de datos de firmas de los sistemas antivirus.
f.Realizar backups de los sistemas, y tenerlos actualizados.
g.Desplegar protección específica a los endpoints que no pueden ser parcheados.
h.No utilizar cuentas con permisos de administrador.

2.Acciones de Detección
a.Desplegar sistemas IDS/IPS en la red, con firmas actualizadas, para la detección de “EternalBlue”.
b.Verificar que los endpoints tienen las últimas firmas.
c.Verificar que no existe tráfico TOR en nuestra red, esto podría indicar una infección.
d.Comprobar el log DNS en busca de rastros relacionados con el malware.

¿Qué buenas practicas puedo adoptar para prevenir Ransomware?
Finalmente, y directamente extraído del documento “Buenas Prácticas CCN-CERT BP-04/16” del CCN-Cert, ya que me parece muy completo, se exponen a continuación una serie de buenas prácticas, que se recomienda tener en cuenta siempre en la medida de lo posible para prevenir la infección y propagación del ransomware.

1. Mantener copias de seguridad periódicas de todos los datos importantes. Es necesario mantener dichas copias aisladas y sin conectividad con otros sistemas,
   evitando así el acceso desde equipos infectados.
2. Mantener el sistema actualizado con los últimos parches de seguridad, tanto para el sistema operativo como para el software que hubiere instalado.
3. Mantener una primera línea de defensa con las últimas firmas de código dañino (antivirus), además de disponer de una correcta configuración de los
   cortafuegos a nivel de aplicación (basado en listas blancas de aplicacionespermitidas).
4. Disponer de sistemas antispam a nivel de correo electrónico y establecer un nivel de filtrado alto, de esta manera se reduce las posibilidades de infección a través
   de campañas masivas de ransomware por correo electrónico.
5. Establecer políticas seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por el ransomware (App Data,
   Local App Data, etc.). Herramientas como AppLocker, Cryptoprevent o CryptoLocker Prevention Kit permiten crear fácilmente dichas políticas.
6. Bloquear el tráfico relacionado con dominios y servidores C2 mediante un IDS/IPS, evitando así la comunicación entre el código dañino y el servidor de
   mando y control.
7. Establecer una defensa en profundidad empleando herramientas como EMET, una solución que permite mitigar exploits (incluidos 0-days).
   No utilizar cuentas con privilegios de administrador, reduciendo el potencial impacto de la acción de un ransomware.
8. Mantener listas de control de acceso para las unidades mapeadas en red. En caso de infección, el cifrado se producirá en todas las unidades de red
   mapeadas en el equipo víctima. Restringiendo los privilegios de escritura en red se mitigará parcialmente el impacto
9. Se recomienda el empleo de bloqueadores de Javascript para el navegador, como por ejemplo «Privacy Manager», que impide la ejecución de todos aquellos
   scripts que puedan suponer un daño para nuestro equipo. De este modo reduciremos las opciones de infección desde la web (Web Exploit Kits).
10. Mostrar extensiones para tipos de fichero conocidos, con el fin de identificar posibles archivos ejecutables que pudieren hacerse pasar por otro tipo de fichero.

Adicionalmente, se recomienda la instalación de la herramienta «Anti Ransom», que tratará de bloquear el proceso de cifrado de un ransomware (monitorizando «honey files»). Además, esta aplicación realizará un volcado de la memoria del código dañino en el momento de su ejecución, en el que con suerte se puede hallar la clave de cifrado que estuviera empleándose.

Finalmente, el empleo de máquinas virtuales evitará en un alto porcentaje de casos la infección por ransomware. Debido a las técnicas anti-debug y antivirtualización comúnmente presentes en este tipo de código dañino, se ha demostrado que en un entorno virtualizado su acción no llega a materializarse.

Como conclusión final, es importante tener en cuenta que se esperan nuevos ataques, y que por ese motivo es importante la adopción de medidas de seguridad para prevenir y detectar éste tipo de ataques. Además, es importante añadir que el factor humano juega un papel crucial, ya que la ingeniería social acostumbra a ser uno de los factores clave.