¿Qué acaba de pasar?
Un ataque de ransomware se está extendiendo muy rápidamente entre los sistemas Windows no parcheados de todo el mundo. Esta mañana, se creía inicialmente que el ataque iba dirigido al Servicio Nacional de Salud del Reino Unido, pero a lo largo del día se ha hecho evidente que se trata de un ataque global.
Kaspersky Labs informó el viernes por la tarde de que al menos 45.000 hosts de 74 países estaban infectados. Avast cifró la cifra en 57.000 infecciones en 99 países. Todo ello, en apenas 10 horas. De los hosts infectados, Rusia, Ucrania y Taiwán fueron los principales objetivos.
Según un informe, el ransomware utiliza un monedero de bitcoins para recaudar transacciones entrantes de entre 0,15 y 0,3 BTC, por un valor de entre 250 y 500 dólares a día de hoy. Esto significa que la gente está pagando para desbloquear los archivos cifrados como parte del ataque. La cantidad es un valor interesante, ya que es lo suficientemente baja como para atraer a una persona a pagar con la esperanza de restaurar sus datos, lo que permite al atacante obtener una ganancia sustancial debido al gran número de ordenadores infectados. Se trata de un ataque de ransomware a escala económica.
¿Cómo es posible un ataque tan masivo?
Shadow Brokers lanzó al mundo un potente conjunto de herramientas que permitían a cualquiera que pudiera descargar un archivo realizar muchas acciones de piratería informática. El contenido del tesoro de Shadow Brokers incluía binarios compilados para exploits dirigidos a vulnerabilidades de una larga serie de sistemas operativos Windows, incluidos Windows 8 y Windows 2012. Se afirma que se trata de herramientas de pirateo utilizadas en su día por la NSA.
Una de las vulnerabilidades de Windows en la caché se denomina EternalBlue. Explota un fallo de ejecución remota de código en Windows 7 y 2008 mediante los protocolos de bloque de mensajes de servidor (SMB) y NetBT. La vulnerabilidad explotada permite la ejecución remota de código si un atacante envía mensajes especialmente diseñados a un servidor Microsoft Server Message Block 1.0 (SMBv1). Mirando el código del ransomware muestra indicadores de que está utilizando este exploit EternalBlue.
¿Cómo entra?
Podría utilizar un ataque phishing , un ataque de watering hole, o podría ser una máquina ya infectada que forma parte de una botnet que ha sido comprada por el atacante para propagar el ransomware dentro de la organización. Sólo tiene que infectar el ordenador de una persona en una red a través de un ataque de phishing y, a continuación, utilizando el exploit en el que se basa, propagarse a través de la red a otros ordenadores Windows.
Así, un usuario no siempre podría protegerse simplemente teniendo cuidado de no abrir un correo electrónico phishing de una fuente desconocida o abrir un documento sospechoso.
Esto se está extendiendo muy rápido y muy amplio
Dada la velocidad y la escala de los ataques, parece probable que entre a través de una máquina y se propague lateralmente en el interior utilizando algún tipo de reproducción de exploración/explotación. Un ransomware como este no requiere señalización externa de mando y control, por lo que las defensas perimetrales tradicionales son inútiles porque buscan una llamada de retorno del ransomware para detectar e impedir la propagación de un ataque de ransomware.
Conseguir un único host infectado dentro de un millar de redes no es difícil para una vulnerabilidad sin parche. Esta es la carrera armamentística entre el atacante que explota las vulnerabilidades de Windows vertidas por Shadow Brokers y las organizaciones que aún deben aplicar el parche publicado por Microsoft.
Contraataca
El software no compatible es un problema constante que pone de manifiesto las limitaciones de las actualizaciones de software y los parches como principal línea de defensa. Microsoft proporcionó un parche para esta vulner abilidad que está disponible, pero eso no significa que se haya implementado en todos los ordenadores con Windows. El primer paso de cualquier defensa es una estrategia activa de aplicación de parches en torno a vulnerabilidades explotables conocidas. Esto habría cerrado la puerta a las vulnerabilidades de Windows expuestas por el volcado de Shadow Brokers.
En caso de que la vulnerabilidad sea desconocida o no haya habido tiempo suficiente para parchearla, las organizaciones necesitan un método de detección y respuesta rápidas. Esto debería incluir la supervisión del tráfico interno para detectar comportamientos de los atacantes como el reconocimiento, el movimiento lateral y el cifrado de archivos, en lugar de intentar detectar variantes específicas de ransomware en flujos de red o ejecutables.
Para prevenir futuros ataques, necesitamos pasar a un modelo de detección de comportamientos en lugar de detectar la herramienta o el malware específico. La detección del comportamiento es mucho más eficaz, pero requiere un análisis en profundidad del tráfico de red. Pero con los avances en IA que aumentan los equipos de seguridad, estamos viendo cómo el sector cambia a la identificación del comportamiento de los atacantes en tiempo real.
Para obtener más información sobre la lucha contra el ransomware, consulte este informe.