EL DÍA 0

45.000 ataques en 74 países sobre agujero de Microsoft

Diferentes organismos gubernamentales de 74 países tuvieron que trabajar activamente para frenar las consecuencias del hackeo, según la BBC británica, e investigar sus características. El Gobierno español informó que el ciberataque masivo había impactado sobre Telefónica y que ha afectado a otras grandes compañías del país que utilizan Windows, de Microsoft. El origen del ataque "masivo y de riesgo muy alto" estaría en China la valoración del Centro Criptológico Nacional, repartición pública adscripto al Centro Nacional de Inteligencia (CNI). El centro ha alertado a los organismos oficiales de que extremen sus precauciones y sus medidas de seguridad informática, lo que ha derivado que varios ministerios y entes dependientes hayan ordenado a los funcionarios apagar sus equipos.

En junio 2015 se informó que, por 3ra. vez, China y USA tenían un cortocircuito por un caso de espionaje cibernético masivo, con más de 4 millones de personas afectadas, en una intrusión por la que Washington DC acusó a Beijing, y el régimen chino no sólo lo niega, sino que le reprocha su "paranoia".

Ya se sabe: el ciberespionaje es casi una nueva forma de guerra entre países, y los expertos en seguridad de USA se inquietan ante la vulnerabilidad a la que a veces quedan expuestos: em aquella ocasión, los datos de no menos de 18 millones de empleados y exempleados públicos de todos los niveles -intrusión masiva- quedaron expuestos. Unos 18 millones de direcciones de correos electrónicos antiguos, actuales o/y posibles futuros empleados del gobierno de Estados Unidos habrían sido el blanco del ciberataque chino sufrido por la oficina de gestión de personal de la administración estadounidense (OPM, por sus siglas en inglés).

Dyn, 2016

En octubre 2016, los miembros del colectivo de hackers New World Hackers, distribuidos en China y Rusia, se atribuyeron la responsabilidad por el ataque al proveedor de internet DynDNS (Dynamic Network Services, Inc.).

A través de un mensaje de Twitter, explicaron que organizaron las redes de computadoras "zombies" que lanzaron en simultáneo la asombrosa cifra de 1,2 terabits de datos por segundo a los servidores gestionados por Dyn, firma que ofrece servicio en USA a compañías de gran influencia como Twitter, Spotify y medios de comunicación como CNN, Infobae y The New York Times.

"No hicimos esto para atraer a los agentes federales, sólo para probar nuestro poder", declararon dos miembros del grupo de piratas informáticos, que se identificaron como "Profeta" y "Zain", a un reportero de la agencia de noticias Associated Press. Señalaron que más de 10 hackers participaron en el ataque.

Microsoft, 2017

A media mañana española del viernes 12/05/2017, los computadores más sensibles de oficinas de Telefónica comenzaron a mostrar pantallazos azules, quedando completamente bloqueados. También se confirmó que los trabajadores habían comenzado a recibir e-mails urgentes pidiendo que se apagaran por completo todos los computadores y no se volviesen a encender bajo ningún concepto hasta nuevo aviso. El pedido se escuchó, incluso, por la megafonía de los centros.

Compañías como KPMG, Cap Gemini, BBVA, FedEx, Vodafone también fueron afectadas por este ciberataque, que habría comenzado a cifrar todos los datos de los discos duros de los computadores pidiendo un rescate en Bitcoins a cambio de recuperar la información, según el diario El Mundo, de Madrid.

Es decir, Telefónica y otras compañías estarían frente a un ataque de ransomware procedente de China. Este tipo de ciberataques han ganado una gran relevancia y popularidad en los últimos tiempos. Se trata de hackeos en los que se secuestran los archivos personales de los usuarios (o de una empresa, como en este caso) y se pide al afectado un rescate a cambio de descifrarlos.

Los análisis del Instituto Nacional de Ciberseguridad (Incibe) demuestran que el software malicioso que ha provocado el ciberataque a nivel global es un WanaCrypt0r, una variante de WCry/WannaCry. Tras instalarse en el equipo, ese virus bloquea el acceso a los ficheros del computador afectado, pidiendo un rescate, y puede infectar al resto de equipos vulnerables de la red.

WanaCrypt0r cifra archivos del disco duro con extensiones como .doc .dot .tiff .java .psd .docx .xls .pps .txt o .mpeg, entre otros, y aumenta la cuantía del rescate a medida que pasa el tiempo.

El español CCN (Centro Criptológico Nacional) publicó una alerta por este ataque masivo, informando que era una versión de WannaCry que afectaba a los siguientes sistemas:

Microsoft Windows Vista SP2
Windows Server 2008 SP2 and R2 SP1
Windows 7
Windows 8.1
Windows RT 8.1
Windows Server 2012 and R2
Windows 10
Windows Server 2016

"El cifrado de los archivos prosigue tras la aparición de la nota de extorsión, al contrario que en otros ataques, que no muestran la nota hasta que el cifrado se ha completado", explica Agustín Múñoz-Grandes, CEO de la empresa de seguridad informática s21Sec.

Según las compañías de ciberseguridad s21sec y Check-point, el virus informático (conocido como malware),del tipo ransomware -realiza el secuestro exprés de datos y pide un rescate para liberar el sistema-, se expandió por Taiwan, Rusia, Portugal, Ucrania, Turquía y Reino Unido —donde colapsó el Servicio Nacional de Salud—.

En un tuit, Costin Raiu, el director global del equipo de investigación y análisis de Kaspersky Lab, afirmó que se habían registrado más de 45.000 ataques en 74 países.

Ese tipo de virus, que al ser ejecutados aparentan ser inofensivos e imitan a otras aplicaciones, es el más habitual y representa el 72,75% del malware, según los últimos informes de las compañías Kaspersky Lab y PandaLab.

El gran parche

Jaime Blasco, director de los laboratorios de Alienvault en San Francisco, explicó horas después que el ataque ya estaba detenido tras la difusión de un parche de Windows por parte de Microsoft. El origen el ataque había sido un 'exploit', tal como se denomina a los softwares enmascarados que corrompen el sistema, que se filtró como parte de 'shadow brokers', supuestamente los mismos archivos que WikiLeaks acusaba a la NSA (National Security Agency) de usar para espiar computadores.

Microsoft, preocupada por la difusión de este agujero, se mantenía en silencio, pero ya se comentaba que la industria debía replantearse los criterios y formas en que se actualizan sus programas para que la protección frente a vulnerabilidades resulte más automática.

“Este tipo de ataques afecta a todo el mundo, pero hemos visto cómo los delincuentes tratan de ir a por empresas, ya que poseen información valiosa por la que están dispuestos a pagar un rescate”, indicó el estudio de Panda.

Algunos expertos en ciberseguridad, tal como Jakub Kroustek, afirmó en las redes sociales que han rastreado hasta 50.000 ataques de WannaCry. Este mismo experto asegura en el blog de su compañía, Avast, que observaron la primera versión de este virus en febrero y que han encontrado el mensaje de rescate escrito en 28 idiomas.

En Portugal, el ataque informático incluyó a Portugal Telecom, y los bancos Caixa Geral de Depósitos y BPI, aunque solo la telco lo ha admitido: “Todos los equipos técnicos están asumiendo las diligencias necesarias para resolver la situación, habiéndose activado todos los planes de seguridad. La red de los servicios de comunicación fija, móvil, internet y televisión no fueron afectados”.

La empresa confirmó que los atacantes pedían rescate (US$ 300) para el desbloqueo de los computadores bloqueados, en moneda virtual (bitcoin), que en esto días ha llegado a su cotización récord (US$ 1.800). La cifra de rescate se duplicaría a los 3 días y si antes de 7 días no se había recibido el dinero, los ficheros quedarían destruidos. Según la empresa de seguridad S21Sec, el ataque afectó a equipos con versiones de Windows y programas tales como Word y Excel, también de Microsoft.

Los expertos recomendaron utilizar "de manera inmediata" el parche de seguridad MS17-010.

El responsable de Big Data e Innovación de Telefónica, Chema Alonso, ha reconocido en un tuit en su cuenta personal este ataque de ramsonware. Alonso, anteriormente un hacker, es también el Responsable Global de Ciberseguridad y Datos, según aparece en su propio LinkedIn (hoy día de Microsoft), aunque ha asegurado que "la seguridad interna de Telefónica" no está entre sus responsabilidades directas.

Había un parche disponible para la vulnerabilidad de Windows, pero se desconoce por qué Telefónica no actualizó sus sistemas. Telefónica no ha querido responder a este asunto.

"La virulencia del ataque se debe probablemente a que algunas organizaciones no habían actualizado el parche hecho público por Microsoft", dice Alan Woodward, de la Universidad de Surrey, a la agencia SMC.

El ciberataque no ha tenido ninguna incidencia en los sistemas que controlan los servicios de Telefónica de Internet y telefonía fija y móvil para sus más de 15 millones de clientes, informó la compañía.

Los creadores del ataque se basaron en filtración de WikiLeaks Vault 7, según la ciberseguridad española. En marzo WikiLeaks publicó documentos que mostraban las tácticas de la CIA (Central Intelligence Agency) para espiar a través de tablets, teléfonos móviles y/o smart TV. Incluía datos de los denominados fallos de seguridad para realizar los ataques Día Cero (Zero Day) que exprimen errores en la programación para infiltrarse.

El criptolocker, un tipo de virus que encripta e inutiliza los documentos, puede haber sido lanzado desde China.

NSA

Según Eusebio Nieva, director técnico de Check-Point en la península ibérica, "ese software maligno puede llegar de manera simple, desde un correo electrónico con una factura falsa, por ejemplo, hasta una técnica conocida como 'watering hole', que en el caso de las grandes compañías, infecta una página (generalmente de la red intranet) a la que los empleados o usuarios acceden con frecuencia".

Él agregó que el pago de un rescate no es garantía de que se pueda recuperar la información cifrada por el virus: "La posibilidad es de entre 30% y 40%".

Nieva agregó que, en la era en que los malware resultan una red industrializada que genera dinero, los tradicionales programas de antivirus ya no son suficientes. Ahora deben utilizarse programas de anti-APP o sandboxing, que rastrean el comportamiento del sistema o de la red de información, identifican cualquier software malicioso y lo eliminan.

"El sandboxing es el que mejor funciona. Cuando llega un documento por correo, por ejemplo, el sistema lo abre en un entorno virtual y si detecta algo sospechoso, lo elimina antes de que llegue al usuario", explicó.

Para eliminar la infección se podría utilizar cualquier antivirus o antivirus auto-arrancable actualizado. Es recomendable realizar un clonado previo de los discos (copia de la información del disco duro en otro soporte), según la importancia de los datos afectados. El clonado también es importante para interponer una denuncia, pues todos los archivos serán necesarios para la investigación, además es muy probable que exista alguna herramienta capaz de descifrarlos en el futuro.

Después de cifrar los ficheros del disco duro, WanaCrypt0r cambia el nombre de los nombres de las extensiones de los archivos afectados por .WNCRY. Después, el virus hace saltar a la pantalla el siguiente mensaje: "Ooops, tus archivos importantes están encriptados" y solicita el rescate de US$300 / 274 euros, en bitcoins. El mensaje incluye instrucciones sobre cómo realizar el pago y un cronómetro.

Según publicó The New York Times, esta herramienta ha explotado una vulnerabilidad que fue descubierta y desarrollada por la National Security Agency o Agencia Nacional de Seguridad de USA.

La herramienta fue robada por un grupo autodenominado Shadow Brokers, que distribuye a través de la red diferentes materiales informáticos para el hackeo desde hace 1 año.

En marzo, Microsoft desarrolló un parche para mitigar el fallo de seguridad pero los piratas ya habían tomado una ventaja que les ha permitido entrar en sistemas vulnerables, particularmente hospitales, según el NYT.

El malware ha circulado vía email, en archivos encriptados y comprimidos que, una vez descargados, permitían al virus instalarse en el sistema.

Edward Snowden, exanalista de la CIA, responsabilizó a la Agencia de Seguridad Nacional de USA (NSA, por sus siglas en inglés) del ataque masivo cibernético que afectó a hospitales en el Reino Unido: "La decisión de la NSA de crear herramientas de ataque dirigidas a 'software' estadounidense, ahora amenaza las vidas de pacientes en los hospitales", afirmó Snowden en su cuenta de Twitter.

El exempleado de la CIA añadió que la agencia estadounidense, "a pesar de las advertencias", diseñó una "peligrosa herramienta de ataque" que afecta a los sistemas operativos occidentales, y cuyas consecuencias fueron visibles hoy.

Snowden instó al Congreso estadounidense a preguntar a la NSA si existen otras vulnerabilidades en los sistemas operativos usados en los hospitales y aseveró que de haber sido revelada la brecha de seguridad cuando fue detectada, "esto probablemente no hubiera sucedido".

"Si la NSA hubiera informado de la vulnerabilidad del programa [una conocida brecha de seguridad del sistema operativo Windows], los hospitales habrían tenido años y no meses para prepararse", subrayó.

Los expertos de la compañía rusa de seguridad informática Kaspersky han analizado los datos relacionados con el virus y ha recomendado una serie de medidas para reducir los riesgos de infección de los datos.

> Instalar un parche oficial de Microsoft, que cierra el agujero de seguridad utilizado en este tipo de ataque.

> Comprobar que están activados los programas antivirus en todos los nodos.

> Si se usa el paquete de protección de datos de la compañía Kaspersky, comprobar si está incluido el componente System Watcher y si está activado.

> Si se usa Kaspersky, poner en marcha el programa del escaneo de áreas críticas para detectar una posible infección lo más pronto posible (en caso contrario, la detección tendrá lugar de forma automática durante 24 horas).

> Tras la detección de MEM:Trojan.Win64.EquationDrug.gen, reiniciar el sistema.

> En el futuro, para prevenir este tipo de incidentes, hay que utilizar los servicios de información sobre amenazas informáticas y recibir a tiempo los datos sobre ataques dirigidos más peligrosos y posibles infecciones.

Dejá tu comentario