Hace ya tiempo que, desde WhiteBearSolutions, tratamos de concienciar al respecto de la importancia de garantizar los procesos de backup en las organizaciones; y de por qué estas estrategias de respaldo deben estar consideradas, y pasar a estar alineadas con las propias del negocio.
Y no me gustaría desaprovechar el ruido que están generando los últimos acontecimientos al respecto del impacto de la infección del virus WannaCry para reiterar esta postura que hoy, si cabe, es compartida y entendida con mayor claridad.
Cuando hablamos de las estadísticas que evidencian los importantes daños ocasionados por la inactividad de una organización, y de la importancia de los Planes de Recuperación Ante Desastres y demás medidas a llevar a cabo para evitar dichas consecuencias, etc., muchos piensan que se exagera, puesto que “esos son problemas que no van a suceder en sus organizaciones”. Pero, viendo la capacidad de penetración del ransomware WannaCry entre sistemas que se creían infranqueables, creo que hoy todos somos conscientes de que efectivamente estas advertencias no eran en vano.
Así, me gustaría poder hacer un repaso referente a los últimos acontecimientos; así como ofrecer una orientación al respecto de nuestra experiencia. Y de cómo una correcta estrategia de backup contribuye a la continuidad del negocio, dotando al mismo de la capacidad de respuesta necesaria ante cualquier tipo de desastre IT inesperado en una organización.
12 de mayo de 2017, viernes por la tarde.
A media mañana los rumores empiezan a surgir: la red interna del gigante de las telecomunicaciones Telefónica, y de otras organizaciones españolas, podrían haber sido hackeadas. Al tiempo, la red de salud pública británica (NHS) confirma que ha detectado la presencia de ransomware en su sistema, el cual ha quedado inutilizado; y en Alemania se confirma el bloqueo de la red de transportes Deutsche Bahn.
Poco más tarde, organizaciones españolas no tienen más remedio que confirmar el ataque y empiezan a publicarse los primeros detalles del ataque sufrido.
En pocas horas, comienzan a llegar noticias de todos los rincones del mundo: Portugal, Francia, Rumania, Rusia, Ucrania, China, Taiwan, India, EE.UU., Brasil, Australia…
La empresa norteamericana FedEx, el ministerio de interior de Rusia y los sistemas informáticos de su cuerpo de policía, el fabricante rumano Dacia, decenas de universidades chinas, el popular portal taiwanés PTT: son tan sólo otros de los ejemplos más llamativos, al menos, de entre los que han reconocido públicamente ser víctimas del ataque.
No había terminado el día y ya había más 57.000 ordenadores infectados en un total de 74 países.
¿El culpable de todo ello?
Un virus troyano conocido como Wanna Decryptor, WannaCry o WCRY, el cual se ha propagado con una viralidad desconocida hasta la fecha.
La Europol muestra su preocupación y sugiere que esto no ha hecho más que empezar.
15 de mayo de 2017, lunes.
Durante el fin de semana, el ciberataque se ha expandido por un total de 150 países, y más de 200.000 ordenadores se han visto afectados. De repente, el regreso al trabajo por parte de millones de personas se ha convertido en un motivo de preocupación para las organizaciones y gobiernos de todo el planeta.
¿Qué es WannaCry y cómo empezó el ataque?
WannaCry es un ransomware de tipo troyano. Una vez infecta un ordenador, procede a cifrar los archivos presentes en él y solicita el pago de un rescate para su liberación.
En este caso, la pantalla del ordenador queda ocupada por un mensaje en el cual:
- Se solicita el pago de 300 dólares, en su equivalente en la moneda criptográfica Bitcoin.
- Se proporciona un tutorial para llevar a cabo la compra de Bitcoins y la posterior transferencia de los mismos.
- Se indica un contador de tiempo, y se informa de que, tras la cuenta atrás, no se podrán recuperar los datos cifrados.
De acuerdo con información proporcionada por el grupo Talos –perteneciente a Cisco-, la primera oleada de este ataque tuvo lugar mediante una campaña de envío masivo de email phising; es decir, un correo electrónico de suplantación de identidad. Entre los múltiples tipos de mensajes enviados en diversos idiomas figuran, por ejemplo, los concernientes a una supuesta transferencia realizada por un banco.
¿Cómo se ha expandido tan rápidamente WannaCry?
Lo más preocupante de este ataque no es solo el hecho de que haya afectado a decenas de corporaciones y organismos públicos, sino la velocidad a la que lo ha conseguido.
WannaCry se aprovecha de una vulnerabilidad presente en los sistemas operativos de Windows, denominada MS17-010. Dicha falla fue detectada y publicada por Microsoft el pasado 14 de marzo, junto con los correspondientes parches.
Esto pone de manifiesto, por un lado, que de haberse asumido estas indicaciones a la mayor brevedad, la inmensa mayoría de las organizaciones afectadas podrían haber visto neutralizado el ataque. Y, por otro, la necesidad de invertir en Políticas de Seguridad Corporativas que normalicen y pauten este tipo de tareas de vital importancia para el negocio.
Según declaraciones del presidente de Microsoft, Brad Smith, este ataque es una “muestra de por qué la acumulación de vulnerabilidades por parte de los gobiernos es un grave problema”.
De acuerdo con publicaciones como NY Times o Wired, el ransomware WannaCry estaría valiéndose de una herramienta de espionaje desarrollada por la NSA a partir de la vulnerabilidad ya citada. Dicha herramienta recibe el nombre de EternalBlue y habría sido robada y filtrada en Internet hace escasos meses.
Ralentización de la expansión
Afortunadamente, el accidental hallazgo de una falla dentro de WannaCry ha permitido ralentizar la expansión del malware. Un profesional de seguridad acuñado MalwareTech descubrió en el código la presencia de una URL correspondiente a un dominio no registrado, con el que el malware intenta conectarse antes de continuar con su propagación y que funciona como “kill switch”.
Si el malware no logra conectarse con el dominio, procede a la infección y propagación pero, si la conexión tiene éxito, el programa cesa el ataque.
MalwareTech llevó a cabo el registro del dominio con el propósito de rastrear la propagación de WannaCry. Sin embargo, descubrió que esto también detenía al malware.
Fuente: Twitter
Por desgracia, ya se han lanzado nuevas versiones del malware con el “problema” resuelto.
Por otra parte, los ordenadores previamente infectados no se verán beneficiados de ninguna manera. Lo que me lleva al siguiente apartado.
¿Cómo proceder en caso de infección de WannaCry?
Obviamente, la restauración del sistema informático barrerá por completo la presencia de este ransomware. El problema radica en si la información retenida en el ordenador tiene un carácter crítico y no se dispone de una copia de seguridad; o si la misma no ha sido testeada anteriormente y fallan los procesos de restauración. En este sentido, te recomiendo la lectura del post: Cómo poner a prueba la fiabilidad de los procesos de backup de tu organización.
El CNI ha reconocido que aún se está trabajando en la forma de eliminar el malware sin proceder al barrido de todo el sistema. Sin embargo, aún no hay una solución confirmada oficialmente.
Independientemente de ello, de cara a hacer frente a cualquier desastre de IT inesperado, es importante que las organizaciones cuenten con un Plan de Recuperación Ante Desastres que aporte las pautas a seguir en este tipo de casos. Algo que, como hemos comprobado, puede ser más que necesario.
¿Deberías pagar el rescate?
El pago del rescate nunca debería ser una opción. De hecho, el experto en ciber-seguridad y negociación Moty Cristal advierte que, aunque el pago del rescate pueda suponer la liberación de la información –algo que no está garantizado-, también implicará la inclusión de tu organización en una especie de lista negra, la de aquellos objetivos que están dispuestos a pagar.
La cuestión es que la imposibilidad de acceder a información crítica puede poner en serio peligro la supervivencia de tu negocio en el corto y medio plazo.
Si quieres evitar este escenario en el futuro, te recomiendo asegurarte de que tu sistema de backup te proporciona las garantías necesarias. Para ello, me gustaría hacer referencia a algunos de los posts que hemos publicado en estos últimos meses, y con los que hemos tratado de trasladar un valor añadido. En este sentido, creo que podrían ser de utilidad los siguientes:
- Evidencias de que tu sistema de backup y recuperación de desastres es deficiente
- Cómo poner a prueba la fiabilidad de los procesos de backup de tu organización
- Plan de Recuperación Ante Desastes: ¿qué tener en cuenta?
Aún es pronto para determinar las consecuencias que este reciente ciber-ataque va a tener sobre la industria de la seguridad informática y la política de seguridad nacional.
De lo que no cabe duda, es que necesitas dotar a tu organización de la protección apropiada. La manera más eficiente de prevenir y neutralizar este tipo de ataques es incorporar una estricta Política de Seguridad Corporativa que incluya un Plan de Recuperación ante Desastres.
Si estás interesado en que podamos ayudarte, en hacerte llegar nuestra experiencia y valor a través de nuestra solución de almacenamiento y backup: WBSAirback; tal y como lo hacemos con nuestros clientes, te invito a contactarme. Estaré encantado de atenderte.
