La nueva dimensión de los ataques de Ransomware

WannaCry ha sido la última amenaza por ransonmware que ha afectado a cientos de miles de víctimas en más de 150 países en todo el mundo. Hasta la fecha se han descubierto más de 386 muestras de este ransomware y ante esta nueva amenaza global hemos querido evaluar si el ransomware triunfa más que otro tipo de malware.

Para ello, Rosalía Arroyo, redactora jefe de ChannelBiz se ha reunido con grandes especialistas del mercado de la seguridad: Miguel Ángel Martos, responsable de Symantec en España; Juan Miguel Velasco, partner director de Aiuken Solutions; Ramón Ortiz, responsable de Seguridad de Mediaset España; y Alberto Cita, sales engineering manager Iberia de Symantec.

“El ransomware no triunfa más que cualquier otro tipo de malware”, ha sido la gran afirmación de los expertos sobre la mesa. El ransomware triunfa igual pero se nota más, ya que tiene un impacto que resulta evidente para el usuario, la petición de un rescate económico, mientras que la mayor parte del malware que existe se esfuerza en ser lo menos identificable posible, en pasar inadvertido porque su propósito consiste o en robar información o en sabotear y esto requiere tiempo: hay que escalar privilegios, localizar la información que resulta relevante y después actuar sobre ella abriendo puertas traseras, etc. “Para conseguir ese tiempo, el malware necesita ser tan discreto como sea posible y esto hace que resulte mucho más difícil de detectarlo que el ransomware, que se basa en la extorsión”, ha explicado Alberto Cita, de Symantec.

Todos los años Verizon publica el Data Breach Investigation Report y lo que es constante en este informe es que el tiempo medio de las empresas para detectar una brecha de seguridad va desde 6 meses a 2 años y no ha mejorado nada en la última década.

Por otro lado, parece que, de momento, los fabricantes de antivirus no van a ser capaces de parar el ransomware porque la táctica de pinchar en links de emails inhibe ciertos mecanismos de antivirus. Se necesita mucha concienciación y formación por parte de los usuarios frente al clic en enlaces y las descargas de PDFs y ejecutables.

“WannaCry ha sido una nueva prueba de infección en la que se ha transformado el ransomware en una especie de gusano poliformo que se ha ido extendiendo por todas partes en el sistema. Mientras, el ransomware habitual es una construcción muy dirigida de los piratas informáticos que estudian a la empresa víctima, compran los dominios, cuidan la estética, etc.”, ha aclarado Juan Miguel Velasco, partner director de Aiuken Solutions.

Con esto, Alberto Cita ha hecho hincapié en lo sofisticado que puede llegar a ser un ransomware, “por eso es imprescindible que las compañías adopten unas medidas básicas de precaución, detección y respuesta. El hecho de que los usuarios estén bien formados en materia de riesgos de seguridad ayuda, pero no es suficiente y cada día lo va a ser menos”.

Asimismo, Ramón Ortiz, responsable de Seguridad de Mediaset España, ha recalcado que “el usuario es el eslabón débil de todo esto, pero en las compañías resulta muy difícil implementar ciertas medidas de seguridad versus la comodidad de los usuarios y hay ventanas abiertas en Internet por todas partes que la concienciación al usuario, por sí sola, no va a poder solventar”.

La potencia de las herramientas en conflicto con las políticas

“La flexibilización asociada a las herramientas de seguridad es un punto crítico porque si siguen existiendo herramientas potentes a las que se exige poner huecos para su uso generalizado, no saldremos de un escenario permanente de amenazas. La conciencia del usuario, que nos enseñen qué se puede hacer y qué no; qué se puede pasar por Internet y qué no, es fundamental. El problema es que la estrategia de TI tiene que estar en línea con lo que necesita el negocio y, si por mí fuera, volveríamos al mainframe y el proxy”, ha puesto de manifiesto Velasco.

Por su parte, Miguel Ángel Martos, responsable de Symantec en España, ha enfatizado en que una de las pocas cosas positivas que tienen este tipo de amenazas globales, como la desencadenada por WannaCry, es que hay una percepción del riesgo que hace que la gente piense en la seguridad.

“Desde este punto de vista, compañías como la nuestra siempre hemos intentado situar la seguridad a otro nivel, posicionarla como un facilitador del negocio y transparente para el usuario. Para mí, el modelo ideal sería que la seguridad fuera algo con lo que poder decirle al usuario: ‘no solo no hagas esto, sino que lo vas a poder hacer en la medida en que tengas las medidas de seguridad y ya me encargaré yo’. De esta manera, el debate cambiaría totalmente, pasando de la concienciación sobre la seguridad al concepto de cuánto valen tus datos, tu información, es decir, todo lo que se pierde cuando se es víctima de una amenaza”, ha declarado el directivo.

En el 80% de los casos la potencia que brinda la informática e Internet en los puestos de trabajo es demasiado. Hoy en día ya hay muchos puestos en los que se utilizan tabletas, iPads para desarrollar las labores del día a día aunque como contrapunto la administración de estos dispositivos no es sencilla. “El coste de los VDI versus la administración que conllevan no resulta rentable”, ha aclarado Ramón Ortiz.

Las campañas siguen siendo rentables

Continúa habiendo campañas de ransomware porque siguen siendo rentables económicamente para quienes lo difunden.

A pesar de todas las pesquisas que se han barajado sobre el motivo para la difusión de WannaCry, desde el estudio que se ha realizado en Symantec se ha concluido que la motivación principal fue la económica.

“Inicialmente el código de este ransomware tenía un error en el algoritmo programado para que saltara el número de una cuenta de bitcoin que tenían que utilizar los usuarios. Aunque los atacantes querían que cada PC infectado tuviera un número de cuenta de bitcoin independiente para que pudieran controlar quién había pagado y así mandar la clave de descifrado, lo hicieron mal y el algoritmo solo daba tres opciones de cuentas. 13 horas después los delincuentes parchearon y corrigieron ese algoritmo para que cada PC generase una cuenta de bitcoin independiente. Lo que se sabe que han ingresado es porque se están monitorizando esos tres números de cuenta y ahí han ingresado 90.000 dólares, pero todo lo demás no se sabe”, ha aclarado Alberto Cita.

La hipótesis final de Symantec es que este ransomware se propagaba directamente, sin ningún vector adicional. WannaCry tiene dos componentes: un gusano, que utiliza la vulnerabilidad EternalBlue de Microsoft SMB versión 1, que una vez que encuentra un sistema vulnerable utiliza una ejecución remota de código para ejecutar a nivel de kernel el Double Pulsar, que es una puerta trasera y que a través de esta puerta el gusano que infectaba subía directamente el código de secuestro, el ransomware tal y cual, y además intentaba propagarse adicionalmente en otros sistemas, tanto en la red local como por Internet.

Otro de los problemas que afecta a la expansión del malware y sus consecuencias es la existencia de sistemas de control de computadoras electroanalógicas corriendo en sistemas operativos con más de 20 años de antigüedad. “Es una situación muy grave porque los fabricantes de seguridad no pueden interactuar, se les obliga al punto al que algunos han llegado a tener versiones de backup con un CD-ROM que funcione en un Windows XP y cuando desarrollan software de protección avanzado para sistemas legacy resulta que no les dejan instalarlo porque el fabricante no tiene la garantía de que ese software, con ese nuevo software instalado, vaya a funcionar. Es decir, son sistemas que no se pueden parchear, no se puede poner un sistema de seguridad y no se pueden actualizar”, ha especificado Juan Miguel Velasco.

 Replantearse la estrategia de seguridad completa

El hecho de que los sistemas críticos estén muy desasistidos se ha evidenciado con que los hospitales en Reino Unido se paralizaran a raíz de la infección por WannaCry.

“Esta ha sido una oportunidad para que muchas empresas se replanteen su estrategia de seguridad completa y hay tres cosas que pueden hacer: una buena política en cuanto al uso, actuaciones y demás (que sí que se está trabajando en la mayoría de los casos); una política preventiva dirigida a proteger los principales vectores de entrada; y una política de última defensa que es el endpoint. A raíz de WannaCry estamos viendo que las empresas están dirigiendo de nuevo el foco en el endpoint, pero no es lo único y esta ha situación ha sido idónea para que las empresas se replanteen su estrategia de seguridad completa y que los CIOs reclamen más recursos”, ha defendido Miguel Ángel Martos.

Las empresas deben tener un buen protocolo de seguridad y de comunicación de los  incidentes y con el nuevo reglamento europeo de protección de datos (GDPR) esto va estar más regulado. “Además, la colaboración en la comunicación debe trabajarse más en el mundo latino y habría que hacer un postmortem para definir entre todos los agentes de la industria las mejores prácticas”, ha defendido Velasco.

Como conclusión, “la seguridad debe formar parte integral de la política de continuidad de negocio y sigue estando al margen”, he expuesto Alberto Cita, de Symantec.

“Lo fundamental para las empresas es que, además de la concienciación del usuario, encadenen una medida de seguridad una con otra. Desde luego, deben tener un antivirus potente, con funciones avanzadas y actualizadas, y realizar un trabajo de configuración permanentemente. Hay que estar trabajando con el antivirus constantemente para ir configurándolo, dándole de alta software o equipamiento que se va implementado en la compañía, es decir, hay que alimentarlo. Y, por otro lado, impedir que en los equipos de la compañía se ejecuten cosas que la empresa no conoce, además de mitigar los posibles vectores que pueden venir por navegación, el email o los puertos USB. Se necesita tener estas tres medidas adoptadas estratégicamente porque como falle una la amenaza entrará”, ha concluido Ramón Ortiz, responsable de Seguridad de Mediaset España.