21/05/2017

Joxean Koret
Investigador en seguridad informática
WannaCry: una campaña de extorsión venida a más

Unas 35.000 máquinas en 150 países han sido infectadas desde el pasado 12 de mayo por el «malware» WannaCry. Un ataque masivo y grave que, sin embargo, dista de ser el más dañino ocurrido hasta la fecha. El autor desgrana en este análisis las principales claves para entender lo ocurrido.

Sabemos por experiencia que empresas, gobiernos y particulares no actualizan su software, por lo que en el futuro veremos más casos como WannaCry

En los últimos días se está informando de un modo un tanto sensacionalista acerca de un “ciberataque” a escala internacional por el cual “un virus” ha infectado multitud de empresas y gobiernos en unos 150 países, los primeros 74 en tan solo 24 horas, llegando a la escandalosa cifra de unas 35.000 máquinas afectadas. Pero, ¿sabemos realmente qué es este programa malicioso (malware)?

Este malware se divide en dos partes: un gusano y un ransomware. El gusano es el responsable de la tarea de propagación a ordenadores Windows, aprovechando una vulnerabilidad conocida pero cuya corrección no ha sido aplicada aún en la máquina víctima. El ransomware (nombre utilizado para referirse a programas maliciosos usados para la extorsión) se encarga de encriptar una larga lista de tipos de archivos en la máquina víctima para, a posteriori, solicitar un rescate de 300 dólares por equipo para recuperar los archivos. El uso de ransomwares, de la extorsión digital, es algo bastante común, sin embargo el caso de WannaCry es particular ya que es el primero en utilizar un gusano para propagarse y, además, explota un fallo que se hizo público hace cerca de un mes gracias a una filtración de herramientas de la NSA (la Agencia Nacional de Seguridad estadounidense), concretamente de la división TAO (Tailored Access Operations). Es decir, es una vulnerabilidad para la que la NSA tenía un exploit (un programa que aprovecha un fallo de software para llevar a cabo acciones arbitrarias en la máquina objetivo) y dicho exploit ha acabado en manos de mafias debido a que muchas de sus herramientas fueron robadas y publicadas libremente en internet por un «actor en la sombra».

El objetivo principal de este ataque es el beneficio económico. El malware pide un rescate que ha de pagarse en Bitcoins, una moneda puramente digital difícilmente rastreable y muy popular en el ransomware. Una vez realizado el desembolso de la extorsión solicitada, la víctima contacta con los criminales a través de la DarkWeb o “Internet Profunda”, donde un operador verifica la transacción y, si a los operadores del malware les parece bien, proceden al descifrado de los archivos secuestrados previo pago del rescate.

El ataque del 12 de mayo, sin embargo, no es ni mucho menos el más importante, el de mayor envergadura, el más destructivo o el más peligroso ocurrido hasta ahora, como algunos medios afirman. Si bien la incidencia de esta campaña de malware no es baladí (35.000 máquinas, 150 países), está lejos de ser el gusano/malware más destructivo, masivo o peligroso. El que más pérdidas causó fue MyDoom, en 2004, calculadas en unos 38.000 millones de dólares. El gusano más masivamente distribuido tampoco es WannaCry, ya que el “honor” recae en Blaster/Lovsan. Dicho gusano se calcula que llegó a infectar la friolera de 16 millones de máquinas.

El título al más destructivo probablemente lo ostenta CIH, un virus-gusano que permanecía durmiente hasta el 26 de abril, momento en el que borraba parte de la BIOS haciendo que la máquina, tras reiniciar, no pudiera volver a iniciarse, haciéndola inutilizable.

¿Cómo detener el gusano?

Se ha comentado mucho cómo se ha “detenido” este gusano, si bien no todo lo que he leído es 100% correcto. La primera oleada de ataques se consiguió frenar gracias a un mecanismo implementado en el malware para no infectar: verificar si un dominio (un sitio web) existía o no. Si dicho dominio existía, terminaba su ejecución; en caso contrario, procedía a la infección y encriptación. Así pues, el freno al ataque inicial fue trivial: el investigador conocido por su sobrenombre @MalwareTech registró dicho dominio y frenó la primera oleada.

Pero el modo de continuar con la campaña también era trivial: cambiando un carácter del larguísimo nombre de dominio basta para proseguir la infección. O más fácil aún: borrar todo el mecanismo de verificación de existencia de dicho dominio e infectar siempre. Claro, no tardaron en aparecer nuevas variantes sin las verificaciones o con nuevos nombres de dominio. Este mecanismo se ha considerado como «el botón gordo rojo de apagar», sin embargo la posibilidad de que esto sea así es cuestionable. La teoría que más sentido tiene, en mi opinión, es otra: los desarrolladores crearon una regla local en sus máquinas/redes para que el dominio resolviese y no les afectase a ellos.

¿Quién ha sido?

Respecto a quién está detrás, lo que denominamos “atribución”, la respuesta más apropiada es que no está claro. La teoría que se está anunciando a bombo y platillo apunta al grupo de hackers Lazarus (presuntamente, hackers del Gobierno de Corea del Norte). La razón es que Neel Mehta, ingeniero de seguridad indio en Google, publicó en Twitter que había encontrado funciones de dicho malware que coincidían uno a uno con funciones de muestras de malware de campañas atribuidas a Lazarus. Pero algunos medios de comunicación, principalmente estadounidenses, están dando esta pista por conclusiva, obviando cuan fácil es copiar funciones de un malware a otro.

Otro elemento que podría apuntar a Corea del Norte es un informe de Symantec en el cual afirman haber encontrado herramientas utilizadas exclusivamente por el grupo Lazarus en algunas máquinas infectadas con versiones iniciales de WannaCry. Podría ser pura casualidad: entre la multitud de empresas y gobiernos infectados por WannaCry, puede darse el caso de que a su vez estén infectados por Lazarus.

¿Juntando estas pistas podemos afirmar que Corea del Norte está detrás? No. La relación entre WannaCry y Corea del Norte es muy débil. Además, no tiene sentido que un grupo como Lazarus lance un ataque para... ¿pedir rescates de unos cientos de dólares? Un actor de nivel de Estado ataca objetivos puramente estratégicos, no actúa indiscriminadamente a nivel mundial afectando incluso a su único aliado (China). Quienes quieren creer en dicha teoría esgrimen multitud de argumentos variados para encajar esta pieza en el puzzle sea como sea; el más popular es que «tal vez se les escapó durante su desarrollo». Si bien la posibilidad no puede descartarse, es de dudosa utilidad para un país encriptar archivos en máquinas de todo el mundo y solicitar rescates.

La atribución no es trivial y en muchos casos nunca se sabe quién está detrás. Mi teoría es que fueron jóvenes desarrolladores de malware, probablemente rusos o ucranianos, a quienes durante la fase de pruebas se les escapó el gusano del zoo.

Otra incorrección aparecida en medios de comunicación de todo el mundo es que «EEUU creó el virus». EEUU no creó WannaCry. EEUU es responsable, exclusivamente, de haber perdido herramientas de la NSA que fueron publicadas por el grupo denominado Shadow Brokers (supuestamente atribuido al GRU, servicios de inteligencia rusos) en internet y que “alguien” integró una de esas herramientas, un exploit para Windows concretamente, en su malware para maximizar la propagación. Pero de ahí a decir que «la NSA creó el virus» va un mundo.

¿Cómo defenderse?

La defensa ante este tipo de amenazas, en muchos casos, pasa por estar al día con las actualizaciones del sistema operativo y el resto de software que tenemos instalado en nuestros equipos. WannaCry explota una vulnerabilidad de Windows que fue corregida hace un mes pero que muchas empresas, por imposibilidad técnica, por dejadez o desconocimiento, no parchearon. Por suerte, dicho malware no utilizaba exploits de día cero (vulnerabilidades no conocidas y sin parche existente); así pues, no utilizando sistemas operativos no soportados oficialmente, como Windows XP, y manteniendo al día las actualizaciones para los sistemas soportados habría sido suficiente.

En muchos casos no es posible aplicar las correcciones en algunas máquinas: dispositivos médicos, empresas que cerraron, etc. En estos casos, la solución pasa por aislar las máquinas potencialmente vulnerables de las no vulnerables, en diferentes segmentos de red, por ejemplo. De todos modos, sabemos por experiencia que esto rara vez se hace y que muchas empresas, gobiernos y particulares no actualizan su software, por lo cual podemos afirmar sin despeinarnos que en el futuro veremos más casos como WannaCry, con múltiples y variados efectos en los más variopintos lugares donde se utilicen equipos informáticos, desde la frutería de la esquina a hospitales o gobiernos.

 

Glosario

Malware

Software (programa) malicioso instalado en una máquina

Gusano

La herramienta que propaga el «malware» a ordenadores Windows

Ransomware

El «malware» utilizado para encriptar archivos y extorsionar a sus dueños

Encriptación

Proceso para cifrar y hacer ilegible un archivo

Exploit

Programa elaborado para aprovechar una vulnerabilidad de un sistema

0days

«Exploit» para vulnerabilidades desconocidas y sin parche

Bitcoin

Moneda virtual no sujeta a bancos centrales y difícilmente rastreable

BIOS

La parte de una computadora responsable de iniciar el hardware y arrancar el sistema operativo