Hay tantas noticias en torno al brote de WannaCry Ransomware que es imposible saber por dónde empezar a leer. A medida que los medios de comunicación están saltando sobre cualquier nueva información que puede o no estar conectada, algunos artículos incluso plantean más preguntas de las que responden.

El hecho es: WannaCry ransomware ha golpeado a cientos de miles de computadoras desde que comenzó a extenderse el 12 de mayo de 2017, y ha capturado la atención del mundo como ningún otro.

Pero, ¿qué hace que esta infección ransomware sea diferente a cualquier otra? ¿Cómo se propagó tan rápido? ¿Y qué podemos esperar en términos de futuros ataques de ransomware?

Para averiguar, nos sentamos con Emsisoft CTO y el jefe de Malware Lab, Fabian Wosar, y Emsisoft Ransomware Researcher, Sarah W., para romper la confusión alrededor de WannaCry, cómo protegerse contra ella y por qué las copias de seguridad son más importantes ahora que nunca .

Gracias por tomarse el tiempo para hablar sobre WannaCry y cómo afecta a nuestros clientes. Para empezar: ¿Por qué este ransomware es diferente a otras variedades y cómo se ha propagado tan rápido?

Como parte de nuestro trabajo diario, monitoreamos muchos canales diferentes para identificar y rastrear actividad de ransomware. Estos incluyen nuestros programas maliciosos y de investigación, canales comunitarios como foros, ID Ransomware y Twitter. El viernes por la mañana nuestra atención fue señalada a una gran cantidad de actividad en Twitter que era WannaCry relacionados.

Pronto comenzamos a darnos cuenta de que esto no era un brote de ransomware normal cuando vimos cómo el NHS fue golpeado y la tasa a la que las redes enteras se vieron afectadas.

Cómo WannaCry se extendió

La vulnerabilidad de Windows 'Eternal Blue' [una hazaña descubierta por la NSA y mantenida en secreto] fue filtrada entre una serie de otros por el grupo de hackers Shadow Brokers en marzo de 2017. WannaCry utiliza un tipo de gusano que se propaga rápidamente a través de las redes a través de esta vulnerabilidad Que está presente en los sistemas operativos Microsoft sin parches más antiguos, como Windows XP. Normalmente, ransomware se descarga en un equipo a la vez. Sin embargo, con este gusano, una vez que se encuentra dentro de una red se extiende como un incendio forestal de una computadora a otra, sin ninguna acción del usuario de la computadora.

Este problema fue remendado por Microsoft en marzo de 2017, lo que significa que el gusano sólo afectó a los equipos con sistemas operativos obsoletos. Esto es típico de los hospitales que están vinculados al hardware existente que no está construido para manejar los sistemas operativos modernos, pero siempre están conectados a Internet.

Debido a que este gusano sólo afecta a los equipos que no han instalado la actualización más reciente de Windows, cualquier computadora vulnerable abierta a Internet está en riesgo. Es por eso que siempre enfatizamos la importancia de mantener actualizado todo el software, especialmente su sistema operativo.

Comparado con otros ataques globales de ransomware, ¿cuan sofisticado es WannaCry?

WannaCry como un gusano es sólo notable debido a la explotación NSA (Eternal Blue) que utiliza. Sin embargo, ese código de explotación no fue escrito por el autor del malware, pero era prácticamente un trabajo de copia y pega. No hay nada sofisticado o impresionante acerca de copiar y pegar.

Aparte de su comportamiento como gusano, WannaCry no es nada especial en términos de ransomware. En todo caso, es bastante poco sofisticado.

Pero este es un gran problema para las víctimas. El código utilizado para generar una dirección bitcoin individual para cada usuario no estaba habilitado, lo que significa que hay 3 direcciones bitcoin para ser compartidas entre todas las víctimas.

Los criminales no tendrán casi idea de lo que las víctimas han pagado. Dado que no hay descifrado automático basado en la dirección bitcoin de un individuo, las posibilidades de que sus archivos se descifren después del pago son muy bajas.

Desde el estallido, los investigadores de seguridad han sido capaces de encontrar un "killswitch". ¿Puede explicar exactamente lo que esto significa?

Esencialmente, el malware no le gusta ser encontrado en los sistemas de la gente, ya que esto permite el análisis forense del código que en última instancia, puede conducir al criminal que lo desarrolló. Por su propia naturaleza, el malware a menudo intenta evitar el análisis al intentar detectar los entornos artificiales, generalmente llamados "cajas de arena", que son establecidos por los investigadores para observar y manipular muestras de malware que se ejecutan en un sistema.

Las cajas de arena se suelen aislar de Internet, pero una gran cantidad de malware requiere algún tipo de acceso a Internet para funcionar correctamente. Por lo tanto, las cajas de arena a menudo simulan un Internet artificial, donde cada conexión a Internet siempre tiene éxito y cada dirección de Internet devuelve algo útil.

Un método que utiliza el malware para detectar este entorno es simplemente intentar acceder a una dirección de Internet que sabe que no existe. Si de repente puede, se supone que está siendo ejecutado en una caja de arena. El malware se cierra lo que está haciendo para que no pueda ser observado y se ve como un programa inofensivo; Esto es lo que se conoce como 'killswitch'.

Por lo general, estas comprobaciones se hacen mediante la generación de nombres de dominio al azar, pero en este caso en particular, el autor de ransomware WannaCry decidió utilizar un nombre de dominio cableado. Cuando fue registrado por un investigador compañero, se hizo accesible a través de Internet real también. Por lo tanto, para el malware, cada sistema con una conexión directa a Internet parecía una caja de arena. El malware simplemente se cerró, pensando que estaba siendo observado.

Sin embargo, aún no está claro si este Killswitch fue intencionado por el autor de WannaCry o no. Lo que sí sabemos es que el ransomware no ha cambiado en absoluto, y tampoco tiene el gusano que lo está propagando. Hasta ahora, no se ha confirmado la presencia de un componente de gusano verdaderamente recompuesto y fijo que utiliza un distinto interruptor de eliminación, aparte de unos cuantos editados manualmente que nunca han alcanzado la misma distribución del original.

¿Esperas más ataques de ransomware basados ​​en estas hazañas?

Casi con toda seguridad. No dudamos que más criminales usarán un gusano similar para propagar malware, incluyendo posiblemente más ransomware. De hecho, un minero bitcoin ya se había propagado de esta manera. Dado que hemos visto otros ransomware, como Spora ransomware, en el pasado que ha tenido métodos de pago mucho más sofisticados, no es realmente una cuestión de "si", sino más bien "cuando" vamos a ver un brote de ransomware global lo que será Ser aún más "exitoso" y costoso para sus víctimas.

¿Hay una manera de descifrar sus datos una vez que se han convertido en una víctima del ransomware de WannaCry?

Lamentablemente no, ya que WannaCry utiliza cifrado seguro. Incluso si usted paga a los criminales, como he mencionado anteriormente, no tienen manera de realizar un seguimiento de los pagos, por lo que no puede obtener sus archivos de nuevo y en lugar le pediran más dinero.

Los clientes de Emsisoft no se vieron afectados por el ataque. ¿Puede explicar cómo, y por qué en otros casos, el software de seguridad no fue capaz de detectar la amenaza?

En algunos casos, creo que las víctimas simplemente no estaban ejecutando un antivirus o cualquier tipo de software de seguridad. En los casos en que la gente estaba ejecutando software de seguridad, es posible que la detección del comportamiento del ransomware del producto pueda estar ligeramente ausente.

Los productos de Emsisoft en particular utilizan un enfoque en capas cuando se trata de proteger a nuestros usuarios. Creemos que ninguna tecnología por sí sola es 100% a toda prueba. Sin embargo, aplicando múltiples tecnologías diferentes, se puede lograr un grado muy alto de protección. En el caso del ransomware de WannaCry, los clientes de Emsisoft permanecieron protegidos desde el principio a través de un enfoque de tres capas:

1. Firewall: Si está utilizando Emsisoft Internet Security, el cortafuegos dentro de él habría impedido que alguien desde el exterior accediera a su puerto 445, que es el puerto que el protocolo SMB vulnerable escucha de forma predeterminada y que el gusano WannaCry se pone en contacto para explotar. Si no se puede acceder al puerto, no se realiza ninguna explotación, por lo que su sistema está completamente protegido del malware.

2. Guardia de Archivos: El momento antes de que el gusano se active en el sistema, File Guard lo comprobará contra nuestra base de datos de firmas. Nuestras firmas genéricas que creamos para el brote de WannaCry en febrero cubrieron la mayoría de las variantes usadas en este ataque, así que el ataque fue detenido. Las pocas variantes del componente de gusano que no estaban ya cubiertas se añadieron en 30 minutos.

3. Bloqueador de comportamiento: Una vez que el componente de gusano se active, la tecnología de bloqueo de comportamiento intervendrá, detectando el intento del malware de infectar el sistema local, así como el intento de infectar otros sistemas en la red. De forma similar, una vez que el componente de ransomware se active, el bloqueador de comportamiento de Emsisoft detectará el comportamiento similar al ransomware y lo detendrá en su pista.

Así que nuestros productos están diseñados con el fracaso en una capa en mente, ya que no se suscriben a la filosofía de poner todos nuestros huevos en una cesta. Incluso si una capa no detiene la infección, hay otros a intervenir.

Dicho esto, ningún producto lo detectará todo. Esta es la razón por la cual hacer copias de seguridad es importante.

¿Cómo están en riesgo los consumidores y las empresas después de este ataque, y qué más se puede hacer para proteger contra un brote de ransomware futuro?

La filosofía de respaldo 321 es la mejor protección contra ransomware:

Manténgase al tanto de las actualizaciones de su sistema operativo y de todas las aplicaciones de alto riesgo (aplicaciones que acceden directamente a Internet o que se utilizan para editar o visualizar documentos originados en Internet o correo electrónico, como los navegadores, los visores de PDF, los reproductores multimedia y los clientes de correo electrónico Etc) es la segunda cosa más importante.

Sí, las actualizaciones pueden romper cosas a veces. Sin embargo, tener copias de seguridad adecuadas mitiga esos peligros ya que permite a un usuario simplemente restaurar la versión anterior fácilmente en caso de que algo se rompa. Las copias de seguridad son impresionantes como eso.

Por último, pero no por ello menos importante, el uso de un software anti-malware actualizado ayuda a mitigar la gran mayoría de todo el malware, así que úselo. Utilizando algún tipo de firewall, ya sea en forma de un enrutador, el firewall de Windows o productos dedicados como Emsisoft Internet Security ayudan a mitigar los gusanos como el WannaCry mediante el aislamiento de servicios potencialmente vulnerables de Internet.

#AntiMalware #WannaCry #Emsisoft