7 lecciones de WannaCry

Por: *Leonardo Carissimi

En estos últimos días una nueva ciberamenaza obtuvo protagonismo, WannaCry. Se trata de un tipo de código malicioso clasificado como ransomware, de aquellos que "secuestran" datos de equipos para exigir dinero a cambio de devolver el acceso a su propietario. Es decir, una vez infectada la máquina, el virus cifra los archivos y muestra una pantalla en la que exige un pago por el rescate, normalmente en moneda electrónica (bitcoins), que así como el dinero en efectivo, no deja rastros cuando se mueve y permite circular valores entre los delincuentes.

Lo más interesante de WannaCry es que explora una vulnerabilidad del sistema operativo Windows, conocida hace por lo menos dos meses, y que permite la ejecución remota de un código a través de una vulnerabilidad en el servicio SMB (Service Message Block).

¿Qué nos deja de lección el episodio?

1.  Crecimiento de las amenazas cibernéticas: Las amenazas crecen en términos de magnitud y agresividad. Con la creciente conectividad, cada nueva amenaza tiene el potencial de infectar a más equipos.

2.  La ciberdelincuencia está creciendo: Esta nueva amenaza también nos recuerda que la ciberdelincuencia está creciendo, ya que cada vez más las amenazas tienen una motivación financiera. Ellas se tornan más peligrosas porque las organizaciones criminales que las dirigen tienen cada vez más recursos para desarrollar “armas” sofisticadas y actuar globalmente con ellas.

3.  Impacto real en los negocios: Durante los últimos días se han visto noticias sobre empresas que fueron contaminadas y tuvieron que pagar por el rescate de sus datos, así mismo, otras decidieron desconectar sus equipos. En los dos casos, es evidente el impacto en términos de costo (sea por el pago del rescate o, en el peor de los casos, por la pérdida de productividad).

4.  La prevención es fundamental y comienza con pequeñas cosas: La vulnerabilidad es conocida hace más o menos dos meses, cuando Microsoft publicó un boletín recomendando la actualización de los sistemas Windows para corregirla. Un trabajo de Gestión de Patchs, complementado con Gestión de Vulnerabilidades, habría evitado ese dolor de cabeza. Realizar copias de seguridad con alta frecuencia es otra práctica muy común que ayuda en situaciones de ramsonware. Son conceptos sencillos, pero que necesitan ser realizados de forma consistente, con procesos, herramientas y personal entrenado.

5. Microsegmentar la red: La utilización de herramientas para la microsegmentación reduce los estragos. Al aislar sistemas por microsegmentos, el movimiento lateral realizado por el malware se contiene, y él no contamina una gran cantidad de equipos en red. Optar por la microsegmentación por software, enfocándose inicialmente en sistemas más críticos permitirá la adopción rápida, sin impacto en la arquitectura de la red, y con reducción de costos. A mediano y largo plazo, esta técnica aumentará la seguridad y permitirá la simplificación de la red al reducir la complejidad de firewalls internos y segmentación vía VLANs.

6.  Monitoreo de Comportamiento de Malware: En todo momento surgirán nuevas amenazas, que serán desconocidas para las herramientas tradicionales de seguridad que trabajan con firmas y estándares de malware conocidos. La utilización de herramientas de corrección de eventos es un control necesario, pero no es suficiente. Prepararse para el malware nuevo requiere de un SOC (Centro de Operaciones de Seguridad) más inteligente, que identifique comportamientos anómalos incluso cuando se presente un ataque nuevo con firma desconocida. En el caso de WannaCry, la comunicación mediante la puerta de SMB, el comportamiento de moverse lateralmente dentro de la red, y la dirección de su “maestro” que intenta contactar, son indicios típicos de que algo extraño está sucediendo y que permitirán a un SOC inteligente detectar la nueva amenaza a tiempo.

7.  Respuesta a incidentes: Una vez detectada la nueva amenaza, es necesario contar con una rápida respuesta. Las respuestas automáticas o manuales podrían bloquear el tráfico sospechoso y eliminar de la red a los equipos contaminados. La utilización de una Arquitectura de Seguridad Adaptable es recomendada para responder de modo dinámico, cambiando la arquitectura de subredes a la medida en que las contaminaciones sean identificadas. Un ejemplo es colocar en cuarentena los equipos contaminados y evitar que los mismos contaminen a otros.

* Leonardo Carissimi es Director de Soluciones de Seguridad de Unisys en Latinoamérica.