Pongámonos en situación
Mayo de 2017, nos despertamos con la noticia de que telefónica, la ISP más importante de España y una de las grandes del mundo había sido hackeada.
Abren todos los titulares con un Malware (software malicioso) llamado wanna cry que había secuestrado gran cantidad de información en cientos de miles de PC´s, entre los afectados, Telefónica.
Si el gigante de la telecomunicación había caído ¿qué nos esperaba a los mortales?
A partir de ahí empezó a resonar en todos sitios el término ransomware, un Malware que secuestra tus datos cifrándolos y te pide un rescate económico para poder descifrarlos y recuperarlos, además este ransomware tenía propiedad de gusano, es decir, era capaz de replicarse a sí mismo en otro equipo.
Explicándolo de una forma más técnica, wannacry utilizaba un exploit desarrollado por la NSA llamado eternalblue, este exploit aprovecha una vulnerabilidad del protocolo de intercambio de archivos llamado SAMBA.
Microsoft respondió rápido y parcheó la vulnerabilidad mediante actualizaciones de sus sistemas operativos, liberó incluso una actualización para Windows XP, al que ya hace años que retiró el soporte.
Que a mí me cifren las fotos de mi viaje a cuenca o el PDF de la factura de un producto comprado en una tienda online es más bien irrisorio, pero, como cualquier empresario sabe, perder tus datos es perder tu empresa, esto sumado a que los precios del rescate suelen ser bajos (alrededor de los 500€) siempre está la tentación de pagar, pero esta debería ser la última solución, o incluso ni incluirlo en el apartado “soluciones”.
Obviando el hecho que pagar el rescate es pagar a cibercriminales, nadie te asegura que no te pidan más dinero, o que el software quede latente a la espera de volver a activarse en tu servidor.
Vale, tenemos infectados una cantidad incontable de PC´S que, de hecho, era tal la gravedad que llegó a afectar al servicio sanitario británico, ¿Cómo se evitó que se extendiera?
Las empresas dieron orden de apagar todos sus equipos para evitar propagaciones, pero, el que solucionó el problema fue al que apodaron lucky guy.
No me parece que Marcus Hutchins sea un tipo con suerte ya que es un investigador y se dedica a la ciberseguridad, más bien estaba investigando y tuvo un pequeño golpe de suerte.
Marcus, descargó el ransomware en un PC de laboratorio e inspecciono cómo funcionaba, se dio cuenta de que el malware intentaba acceder siempre a un domino en la red concreto, un dominio que no existía, así que para seguir investigando registró por 10 dólares un dominio con ese nombre, cuando el malware fue capaz de encontrar ese domino se desactivó, solucionando así el problema.
Se ha especulado por qué wannacry tenía esta función y hay varias teorías, aunque la hipótesis que más verosimilitud tiene es que era un “botón del pánico” que dejaron sus creadores para poder pararlo en cuanto ellos quisieran, simplemente registrando un dominio en la red.
Aunque mediáticamente fue bastante sonado, para Telefónica no le costaría nada más que poner a sus técnicos de sistemas a recuperar copias de seguridad.
El problema lo tienen las pymes, pequeños y medianos empresarios que pueden tener sus sistemas vulnerables por desconocimiento o falta de asesoramiento en ciberseguridad.
Escribo este artículo como un recordatorio, y una llamada de atención.
Aunque hace un año estuvo meses llenando los titulares, parece que hoy se nos ha olvidado que siguen existiendo muchos tipos de ransomware diferentes. Si tienes una pyme sabrás de que hablo, y si no, es que has tenido suerte y espero que estés preparado.
Hay muchas formas para infectar equipos con ransomware, pero las más comunes son:
- Una es la ingeniería social, es decir, usando método para engañar al ser humano y que ejecute un programa con código malicioso, con técnicas tan comunes como el “phishing”, mediante un simple e-mail que nos invite a descargarnos la última factura de un supuesto cliente ya tendríamos el PC infectado.
- Otra de las formas comunes es intentar acceder por fuerza bruta a un usuario por escritorio remoto.
El método de fuerza bruta es el procedimiento mediante el cual se intenta sacar una contraseña a base de ir escribiendo caracteres hasta averiguar las credenciales, cuanto más robusta sea nuestra contraseña más difícil será acceder al sistema y con la ayuda de un “firewall” físico podemos mitigar este tipo de ataques.
A parte de todas las barreras tecnológicas que podamos poner para evitar ciberataques, siempre debemos tener un respaldo para restaurar lo que no hemos podido proteger, es bien sabido en cualquier departamento de sistemas que la redundancia es la base para la ininterrupción de un servicio.
Es aquí donde entra la solución más recomendada una vez hemos sido infectados con un ransomware, es restaurar nuestras copias de seguridad. Una vez desinfectado el malware de los equipos (mediante programas antimalware o mediante la restauración entera del equipo), procedemos a restaurar todos los datos cifrados de nuestras copias de seguridad.
No vale tener las copias de seguridad de cualquier forma, ya que, si por ejemplo lo tenemos en un disco USB extraíble, y en el momento de la infección está conectado, cifrará también las copias.
La opción más recomendable a día de hoy es hacerse con un NAS, un dispositivo sobre el que volcar las copias de seguridad a través de la red.
Configurando el NAS debidamente será un almacenamiento oculto al ransomware, permitiendo estar de nuevo en funcionamiento en apenas horas.
Todo esto acompañado de un software de copias competente, que permita configuraciones como, por ejemplo, que si las copias se hacen en un disco externo al terminar la copia el software expulse el disco automáticamente.
Y es que no os engañéis, ni la ISP más grande del mundo gastaría un minuto en intentar descifrar esos datos o pagar el rescate, llamará a sus técnicos de sistema para que les restauren las copias de seguridad.
muy interesante el articulo!