Ya pasó un año desde que el ransomware WannaCryptor, también conocido como WannaCry y detecado por ESET como Win32/Filecoder.WannaCryptor.D, se propagaba libremente. Pero, ¿qué hizo que el impacto de WannaCryptor fuese tan severo, especialmente cuando el componente ransomware del malware no tenía nada de especial?
El brote mundial fue claramente una gran oportunidad para el aprendizaje, así como también lo fue el resto de los factores que contribuyeron a que lograse la magnitud y alcance que finalmente tuvo. Evitaremos ahorrarle tiempo al lector narrando los hechos de lo que sucedió hace un año atrás para focalizarnos en algunas de las enseñanzas que dejó el brote mundial. Para eso, no hay otra forma de comenzar que no sea partiendo de cómo WannaCryptor logró establecerse y propagarse.
La importancia de las actualizaciones: una de las principales lecciones que dejó WannaCryptor
A nivel de seguridad informática, vivimos en un mundo donde los parches son fundamentales para garantizar la seguridad (o al menos intentarlo), sobre todo cuando hablamos de parches para fallas conocidas. Y en este sentido, el valor de un parche creado en el momento oportuno se vuelve más evidente si consideramos que el parche para la falla explotada por la campaña de WannaCryptor se había lanzado al menos dos meses antes que el malware acaparara los titulares.
Y si bien muchas organizaciones se esfuerzan por intentarlo, la realidad de las organizaciones indica que mantener todos los equipos actualizados con los últimos parches no es una tarea sencilla. De igual modo, cualquiera sea la causa de este problema recurrente las consecuencias son las mismas: con cada parche disponible que no se es instalado, la ventana de las oportunidades para los intrusos queda cada vez más abierta.
Sistemas operativos obsoletos para los cuales no hay parches
Algunas víctimas sufrieron el golpe pero no porque hubiesen obviado instalar el parche, sino porque utilizaban sistemas operativos obsoletos para los cuales no había soporte y eso hacía que fuese imposible una solución por la no existencia de parches disponibles en ese momento. En estos casos, reemplazar los sistemas desactualizados debería ser la principal preocupación. Si eso no es posible en el corto plazo, los dispositivos que usen sistemas para los que no se desarrollan actualizaciones deberían trabajar aislados en una red independiente.
Segmentando el uso de la red como medida de seguridad
De hecho, segmentar el uso de la red como medida de seguridad puede fortalecer las defensas de una empresa, especialmente contra un malware que presenta comportamientos de gusano, como fue el caso de WannaCryptor. Al habilitar permisos para cierto tipo de tráfico de entrada y salida según la funcionalidad de cada segmento, así como también asegurando la información durante movimientos laterales, incluso si ocurre un ataque en alguno de los segmentos, la exposición estará limitada y el daño contenido.
Apaga lo que no necesites
La campaña de WannaCry se propagó a través de la ya obsoleta primera versión del protocolo para compartir archivos de Microsoft conocido como “Server Message Block” (SMBv1), por lo que se sobreentiende que la antigua versión del protocolo debería deshabilitarse por completo ─tal como lo recomendó Microsoft en 2016. Por otra parte, el SMB, en cualquiera de sus tres versiones, se utiliza en puertos que no estén expuestos a Internet abierta. Por lo tanto, no cuesta nada si al final del día se habilitan solo los servicios que se necesitan y se apaga el resto.
Los programas anti malware existen por una razón
Implementar controles robustos de ciberseguridad incluye asegurarse que todas las máquinas están equipadas con soluciones de seguridad que, naturalmente, deben mantenerse actualizadas. Una sólida suite anti malware incorpora de forma complementaria varias capas de defensa, brindando protección en las diferentes fases que puede tener un ciberataque; incluso ante defectos para los cuales aún no se lanzó ningún parche. Tal como reportamos en uno de los artículos publicados a los pocos días del brote, ESET detectó y bloqueó intentos de abuso de la vulnerabilidad del SMB antes que este particular tipo de malware fuese incluso creado.
Realizar respaldos y ponerlos a prueba
Por último y no menos importante, el ataque recordó a muchos la importancia de realizar respaldos. De hecho, en este escenario, el uso de los backups entra en juego como última medida y luego de que nuestro sistema de defensa fue finalmente vulnerado. Y si lo peor llega a suceder, una exitosa recuperación del incidente sufrido dependerá, en gran parte, de la calidad de la estrategia de respaldo; por eso es importante poner a prueba nuestro sistema de backup para evitar sorpresas. Para lograr esto último, es necesario implementar una rutina que incluya copias periódicas de la información en un medio que no esté conectado a la red.
Eligiendo el camino más sencillo
Independientemente de lo demandante que puede resultar trabajar en la prevención, el esfuerzo no tiene comparación con las dificultades a las que nos debemos enfrentar cuando tenemos que lidiar con las consecuencias de un grave incidente.
Y por si te preguntas qué ha pasado con el exploit (Eternal Blue) que activaba la campaña en un primer momento, te contamos que recientemente Ondrej Kubovič, del equipo de ESET, descubrió que está más activo que nunca.