Tweet 0 COMENTARIOS

Por Gabriel Zurdo – CEO de BTR Consulting

Quizás sea la descripción más cercana al ransomware que podamos encontrar en la biblia, lo cual resulta paradójico, por lo viejo y por lo actual.

. Hagamos un poco de historia 

El ransomware, es un tipo de ataque considerado de la “vieja escuela”, que surge con los “bloqueadores” y con el correr del tiempo se potenció con el cifrado.

Este malware que bloqueaba el acceso al sistema operativo o a un navegador era considerado como muy rentable y los ciberdelincuentes del siglo pasado lo usaban con asiduidad. Los expertos en seguridad en conjunto con los organismos policiales aceptaron el reto y resolvieron el problema rápidamente.

Encontraron una solución inteligente y golpearon el negocio de los ciberdelincuentes desde el corazón de los sistemas de pago.

Cuando la regulación de los pagos electrónicos fue actualizada, la ciberdelincuencia quedó expuesta aumentando el riesgo y ahogando el negocio de los criminales.

. Evolución Cibercriminal

Hace poco más de un lustro, en 2009 para ser exacto, la evolución tecnológica fue un factor clave para el cambio de escenario.

Nace el Bitcoin, se vuelve permeable en todo el planeta y gana la confianza entre los ciberdelincuentes.

La moneda cifrada es, a la vez, un activo digital y un sistema de pago imposible de rastrear o regular.

El amor entre los ciberdelincuentes y la criptomoneda fue instantáneo, a primera vista.

Esta nueva perspectiva permitía redoblar la apuesta: en lugar de bloquear el acceso, fueron por la información sensible, comenzaron a cifrar los archivos de los discos rígidos de las víctimas.

En lugar de atacar archivos que podían ser fácilmente restaurados, optaron por atacar archivos únicos de los usuarios, que detentan un valor personal que el usuario mejor que nadie es capaz de valorar.

A partir de allí, el mundo de la seguridad informática cambió para siempre.

. Amanecer en el Apocalípsis

La osadía del mundo cibercriminal crece de forma exponencial, día a día se corren los límites e internamente, todos esperábamos el día en el que lanzaran la madre de todas las bombas lógicas.

El día ha llegado, en la mañana de hoy comenzaron a llegar noticias de España, sobre un ataque masivo a Telefónica de España, luego se sumaban BBVA, Santander, Vodafone, y avanzado el medio día en Argentina comenzaron a llegar noticias sobre hospitales en el Reino Unido, Universidades de Italia, empresas de Rusia y luego informes confidenciales que llegaban a nuestros escritorios, daban cuenta de ataques ocurridos en América Latina.

Nuestro análisis apunta a que el vector de ataque ha podido ser algún tipo de spam con un adjunto que alguno de los usuarios ejecutó dentro de la intranet empresarial.

. Haciendo Drill Down en el Exploit

A partir de ahí el exploit aprovechó la vulnerabilidad no parcheada de Microsoft para instalar el ransomware y para propagarse por la red a la velocidad de la luz, agregando la extensión .WNCRY a todos los archivos infectados.

En paralelo crea un archivo PleaseReadMe.txt en donde explica como efectuar el pago.

El vector utilizado es Wanna Decrypt0r 2.0 y según pudimos recabar en foros de la Dark Web que explotaron la vulnerabilidad MS17-010 usando EternalBlue, una de las herramientas que pertenecía supuestamente a la NSA y fue liberada por el grupo malicioso Shadow Brokers.

Cabe recordar que en marzo fue liberado el parche para la vulnerabilidad MS17-010 pero en compañías con sistemas heredados de Windows XP y Windows2003 servers, no cuentan con parches para reparar el problema.

Esto explica la rápida propagación que tuvo el caso, una mezcla de desidia que llevó a algunas empresas a abandonar las buenas prácticas que tanto pregonamos, día tras día, y la elasticidad de los sistemas, que no es infinita

 

Fuente: Itconnect.lat