Tienes alguna consulta? (+598) 2400 4378

infouy@sadvisor.com

Ciberguerra: un llamado a la acción para robustecer las medidas de seguridad

30 junio 2017
 junio 30, 2017
Categoría Noticias

Cuando aún el mundo no se termina de recuperar de WannaCry, un nuevo ciberataque de proporciones puso en evidencia lo frágiles que son las infraestructuras de gestión de la información en las organizaciones en general, tanto públicas como privadas.

Este nuevo ataque tuvo las características similares al que poco más de un mes atrás sorprendiera al mundo, alcanzando más de 300.000 sistemas en más de 150 países en tan solo unas horas. En esta oportunidad, según las últimas noticias en sus primeras horas este incidente alcanzó más de 2.000 sistemas en una docena de países. Si bien aún no está confirmado si tiene características de gusano, lo que determinaría su capacidad de propagarse dentro de una red interna una vez infectado uno de sus miembros, no obstante esto, dispone de una nueva característica a estos efectos, que bien podría ser un ensayo.

Aparentemente el malware es una variante de un tipo de ransomware llamado “Petya” (piedra, en ruso). Se caracteriza por encriptar el acceso al disco entero, a diferencia de WannaCry, que encripta archivos individualmente. Según las informaciones manejadas, el rescate que está siendo demandado es de aproximadamente U$ 300 y la zona cero del ataque parece haber sido Ucrania, para posteriormente expandirse al resto del mundo. Se vieron afectadas importantes organizaciones públicas y privadas de diversos países, destacándose el Banco Nacional de Ucrania, la empresa de publicidad inglesa WPP y la naviera global Maersk, con sede central en Dinamarca.

Dicha variante de Petya aparece muy potenciada con respecto a lo que fue WannaCry y sus imitaciones por diferentes razones.

No tiene una “llave de apagado”, como sí tenía su antecesor, lo que permitió detener globalmente su avance.
Una vez instalado en un sistema vulnerable, tiene la capacidad de acceder a repositorios de credenciales, lo que le facilita acceder de manera “legítima” a otros sistemas de la misma red, aún en caso de que no tengan las vulnerabilidades originalmente explotadas.

Es importante destacar que esta variante de Petya procede al cifrado del contenido del disco luego del reinicio del sistema infectado. Por tanto, si se puede determinar que un sistema recién resultó infectado, se le puede apagar y no volver a encenderlo hasta que lo pueda analizar un experto, dado que si el sistema se enciende en forma normal se inicia el proceso de cifrado.

El robo de credenciales estaría aumentando enormemente el riesgo generado por la infección en caso de que fueran enviadas a algún centro de control, dado que se podrían estar incluyendo accesos de todo tipo, entre otros los de diferentes servicios online, como correos, banca online y muchos otros. Sin embargo, este ejemplar de ransomware tiene la inusual característica de indicar a sus víctimas que envíen el comprobante del pago del rescate a una dirección de correo que pocas horas después de comenzada la infección, dejó de funcionar haciendo que las víctimas que habían pagado el rescate se quedaran sin la posibilidad de ninguna recuperación.
Estas extrañas características que actúan en contra de que los atacantes ganen dinero hacen que los investigadores especulen respecto a las verdaderas intenciones detrás del ataque, dado que más bien parece haber sido orientado únicamente a crear caos y daño, más que ganancias económicas.

Mientras sucede esto, al mismo tiempo se pueden ver las consecuencias de la liberación de WannaCry liberado el pasado 12 de mayo. Días atrás, en Australia, una red de sistemas totalmente aislada de Internet, cayó víctima de ese ransomware. La causa: una mala praxis por parte de un técnico, quien conectó a uno de los servidores un pendrive infectado. Eso fue suficiente para que el sistema contrajera el virus, el cual inmediatamente se propagó al resto de la red. Esto hizo que los sistemas mediante los que se gestionan unas 55 cámaras de control de tráfico en el estado de Victoria quedaran inoperativos, con el correspondiente perjuicio.
De la misma manera, empresas del rubro automotriz se vieron afectadas forzando a algunas a detención de sus actividades.
Esta cadena de sucesos, expone la gran fragilidad que sufren muchos de los sistemas informáticos utilizados por las empresas de todo el mundo para gestionar sus actividades, por más críticas que estas sean. Es un llamado de atención para los máximos responsables organizacionales, ya no solo para quienes se encargan de TI o de seguridad, dado que en muchos casos están quedando gravemente comprometidas las capacidades de continuar operando, tal como ya ha quedado evidenciado.
Con estas evidencias se puede ver que estamos frente a una ciberguerra, en la medida que se están probando ciberarmas con las que seguramente se libren buena parte de las guerras del futuro, y las víctimas somos los ciudadanos y las empresas del mundo entero.

Para poder estar protegidos de próximos ataques, Security Advisor recomienda:
Aplicar todos los parches publicados por los productores de software, fundamentalmente de sistemas operativos y navegadores de Internet.
Evitar tener abiertos puertos que no se necesitan, en firewalls y otros componentes de la red, aún aquellos que no están directamente expuestos a Internet. Si no se necesita por razones del negocio o actividad de la organización, debe estar bloqueado.
Asegurar la disposición de respaldos verificados en cuanto a su utilidad, que garanticen un adecuado cumplimiento con el RPO definido.
Ser cauteloso en cuanto a los sitios web que se visitan, los contenidos en general que se descargan y el manejo que se hace de los archivos adjuntos que se reciben en correos electrónicos. Si no se conoce al remitente se aconseja no abrirlo, y si se le conoce pero no se sabe de qué se trata el envío, en lo posible contactar al remitente por otro canal y averiguar al respecto.
Disponer de alguna tecnología suficientemente desarrollada como para hacer frente a las amenazas que hoy día están vulnerando los sistemas en el mundo.