Hace una semana exactamente, ocurrió un ataque a gran escala que afecto empresas y usuarios a lo largo del mundo. El jueves 18/05/17 hubo un evento en Montevideo y SKGCL estuvo presente, en el cual se hablo de la seguridad informática, hubo una muestra de como el virus Ransomware ataca, y tuvimos el placer de entrevistar a Andrés Gomez, que trabaja en el rubro de seguridad informática tanto para sector privado como para entes gubernamentales. De este ataque los mas afectados fueron el servicio de salud del Reino Unido, en Rusia su servicio de telefonía y servicios viales, Telefónica, BBVA.
Un poco de historia: Hace poco tiempo se hurto a la NSA (Agencia de Seguridad Nacional de USA) un armamento de armas informáticas, dentro del cual estaba el paquete para utilizar Ransomware/WannaCry. El objetivo era vender parte de este armamento a cambio de la moneda BitCoin, como no se llego al monto que se pedía, se paso a subasta al módico precio de 100.000 BitCoins, como no se llego al monto, otra vez, se dispuso de manera gratuita en la red. Al ser OpenSource (Código abierto) permitía que se pudiera generar variaciones. Cabe destacar que dos semanas antes del ataque global Microsoft lanza un parche para todas las versiones de Windows (incluidas aquellas las que no les da mantenimiento hace casi una década, como W95/98/XP) para tapar esta vulnerabilidad que explota el virus.
Si bien este no es ultimo ataque ya que este martes se revelo que puede haber otra variación que explote otra vulnerabilidad.
Como trabaja: La manera de usarlo seria por medio de una plataforma como KaliLinux, con un netframework, y un exploit como EternalBlue, “escaneando” la red, dentro, se busca el puerto de trafico de datos por el cual entrar al sistema, se busca ser administrador, y inyectar un virus dentro del sistema de la victima, todo sin que la persona se de cuenta, abriendo un backdoor. Ya que se inyecta en un proceso como explorer o en un archivo como los que se encuentran en la carpeta Temp (archivos temporales generados por el buscador de Internet o otras aplicaciones). Cuando la persona reinicie o actualice su pc va a encontrar que todos sus archivos o algunos, fueron encriptados, teniendo que pagar una suma de dinero para poder desbloquearlos. La victima solo tiene UNA chance para desbloquearla con la contraseña proporcionada por los victimarios, ya que si ingresa una contraseña equivocada ni ellos podrían restablecer su sistema a la normalidad porque se bloquea de manera permanente. Si los victimarios fueran buena onda, podrían liberarlo de manera remota. En cualquier caso seria prudente hacer un escaneo ya con la PC liberada, para borrar cualquier registro y chequear que no quedara ningún backdoor o registro del mismo en la PC. Este virus no trabaja de una manera como la que se esta acostumbrado hablar como “si abrimos un mail nos infectamos”, o “si abrimos un .exe nos infectamos”, ya que si bien puede ser una de las maneras, esto va mas allá y trabaja a través de la red.
Son bien conocidos métodos como el pishing, ingeniería social, o con códigos maliciosos, pero este virus fue mas allá de esto. Atacando la vulnerabilidad MS17-010.
Una de las maneras pero no es total es cerrar el puerto 445, o actualizar nuestros sistemas con los últimos parches lanzados por Microsoft.
A partir de esto se nos generan preguntas:
¿Hace cuanto la NSA tenia esto en su poder? ¿Hace cuanto podríamos haber sido victimas de un espionaje para revisar nuestros datos? ¿Era ético tener esto en su poder, y si sabían de esta vulnerabilidad de Windows, por que nunca lo declararon a Microsoft para repararlo mucho antes? ¿Cual es el armamento COMPLETO?
Dato interesante: La administración en el gobierno uruguayo compro el sistema “El Guardián”, el cual puede vulnerar las telecomunicaciones. ¿Sera esto algo parecido a lo que vimos en cuanto a el arma informática?
