Ciberataque mundial FASE 1

Todos hemos leído que el viernes Movistar sufrió un ataque.
Telefónica (sic) ha sufrido un ataque de ramsonware en la mañana de este viernes en su sede corporativa. El grave incidente ha obligado a la operadora a avisar por megafonía a sus empleados de que apagaran los ordenadores por un problema de vulnerabilidad. En los avisos, que se han ido reiterando a lo largo de toda la mañana, la compañía ha pedido también a los trabajadores que desconectasen sus teléfonos móviles de las redes wifi de la empresa.
Al parecer, el problema ha sido causado por un ramsonware, un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. Fuentes internas de la teleco aseguran que los autores del ciberataque habrían pedido ya a la operadora un rescate para eliminar las restricciones a los archivos y equipos secuestrados. El pago se exige en bitcoin y, según ha precisado la empresa de seguridad Sophos, los ciberdelincuentes habrían solicitado en un principio un pago de 300 dólares por ordenador hackeado. Una cifra que iría aumentando según la empresa dejase pasar las horas.
Jakub Kroustek, especialista de Avast indicó en su blog que se habían detectado 57.000 ataques del WanaCrypt0r 2.0 en todo el mundo, con Ucrania, Rusia y Taiwán como principales objetivos. También Costin Raiu, director global del equipo de investigación de Karspesky Lab, señaló en Twitter que su empresa había detectado 45.000 ataques ramsonware en 74 países alrededor del mundo. Entre los principales afectados, la sanidad pública británica (NHS) donde el virús dejó paralizado a 16 hospitales.

El hackeo sufrido por Telefónica ha afectado tanto a la corporación como a las instalaciones de otras filiales del grupo que tienen su sede en el Distrito C. En principio, se sospecha que el agujero de seguridad se habría producido tras abrir un empleado un link que no debía en un correo electrónico. A partir de ahí, el virus se habría extendido por la compañía.  
Ante esta situación, que ha generado un estado de alta tensión en algunas dependencias, la compañía ha ordenado a los empleados que mantengan los ordenadores apagados hasta nueva orden y se marchen a su casa. Además, han insistido por megafonía que "desde estos momentos y hasta nueva orden, no se podrán sacar equipos informáticos del complejo". La empresa ha indicado también a sus trabajadores que enviarán un correo electrónico a través del móvil cuando la situación se haya normalizado.

A su vez, la consultora Everis ha ordenado a sus empleados que apaguen los ordenadores y no los enciendan hasta recibir noticias del departamento de seguridad. En un comunicado interno, Everis indica que se ha detectado un ataque de ramsonware en “varios de nuestros clientes”. La consultora señala que como medida preventiva “vamos a dar de baja los sistemas internos que puedan verse impactados o que puedan ser utilizados para la propagación”. La firma pide a los empleados que se mantengan conectados a través de sus smartphones o tabletas.

http://cincodias.elpais.com/cincodias/2017/05/12/companias/1494585502_908236.html

MI COMENTARIO tengo contactos en Telefónica que DESMIENTEN esto. NO. No ha sido cosa de “apaga el ordenador y ya buscaremos una solución”. Es un tema más serio. Desde los altavoces les pidieron que desconectaran el cable de alimentación del PC, ¿por qué? 1) Porque el PC se re iniciaba si le dabas a apagar. 2) Porque no afecto al distrito C, sino a toda Telefónica.

Y hay más.

3) hasta el Martes los PC´s permanecen apagados. Sí. El retén de trabajo de los Sábados no ha ido a trabajar. Amigos, el ataque ha sido más serio de lo que parecía.

Pero ha habido muchas más empresas y bancos que se han visto salpicados por el ciberataque, como es el caso de Gas Natural Fenosa y de Iberdrola. Sobre las 12 de la mañana, los servicios de seguridad de ambas eléctricas han dado la orden de apagar los ordenadores, en reiterados mensajes a través de megafonía a sus empleados. Muchos se han marchado después a casa. Todavía a estas horas, mantienen apagados los equipos, aseguran que "por prudencia”.
¿Quien está detrás de este acto de guerra que está poniendo en jaque a servicios críticos?.
¿Está alguna agencia extranjera?, ¿esto forma parte de los hackers rusos, que son famosos por haber intervenido en las elecciones de los EUA?.

Otras corporaciones podrían haberse visto afectadas por el ciberataque como BBVA, Santander, Cap Gemini, KPMG y Vodafone.

Tengo que hacer una reflexión sobre esto. Windows está lleno de agujeros. Según el gran Chema Alonso, Windows es más seguro que otros. Y quizás sea cierto porque soporta más ataques, tiene más usuarios y más gente trabajando en sus agujeros. Pero lo cierto es que los agujeros son más numerosos que los ingenieros que tienen trabajando en ellos.

Los sistemas afectados son Windows 7, 8.1, 10, Server 2016, Vista SP2, Server 2008 SP2 y Server 2012. El organismo ha calificado la alerta de "nivel muy alto" y ha recomendado actualizar los sistemas a su última versión o parchear según informa Microsoft, fabricante de Windows.

Sería interesante pensar en la cantidad de Windows XP y Windows 7 que hay circulando. Que no son pocos. Windows XP y Windows Vista tienen más usuarios que Windows 8.1 en su momento.
40 hospitales de UK han sido infectados, a pesar de que sus expertos les advirtieron a que actualizaran sus Escritorios con XP. Durante 2015 hubo numerosos hospitales que no gastaron NADA en seguridad.

Microsoft lanzó un parche de seguridad el 16 de Marzo. Parece que el personal no se preocupó de actualizar.

¿Estos ataques están relacionados con el hackeo que sufrió la CIA en el que se filtraron poderosas herramientas de hackeo de esta agencia?.

Pues bien, estas preguntas no andan tan desencaminadas. Porque en estos ataques hay software que le ha sido robado a otra agencia, la NSA.

https://www.bleepingcomputer.com/news/security/wana-decrypt0r-ransomware-using-nsa-exploit-leaked-by-shadow-brokers-is-on-a-rampage/

El nombre del ransomware es WCry, pero también se hace referencia en línea en varios nombres, como WannaCry, WanaCrypt0r, WannaCrypt o Wana Decrypt0r. Como todo el mundo sigue llamándolo "Wana Decrypt0r", este es el nombre que usaremos en este artículo, pero todos son lo mismo, que es la versión 2.0 de los humildes e inexpresivos rescate de WCry que aparecieron por primera vez en marzo.

Lo que estaba claro sobre este ransomware era que Wana Decrypt0r era extremadamente virulento. El que desentrañó el misterio fue el investigador de seguridad francés Kafeine, quien fue el primero en detectar que Wana Decrypt0r activó alertas de seguridad para ETERNALBLUE, una supuesta vulnerabilidad de la NSA filtrada en línea el mes pasado por un grupo nefasto conocido como The Shadow Brokers.
ETERNALBLUE funciona mediante la explotación de una vulnerabilidad en el protocolo SMBv1 para obtener un punto de apoyo en máquinas vulnerables conectadas en línea. Microsoft corrigió la falla en MS17-010 , lanzada en marzo, pero eso no significa que todos los propietarios de PC de Windows hayan aplicado la actualización de seguridad .
Las máquinas Windows sin parche expuestas en línea hoy corren el riesgo de ser explotadas con ETERNALBLUE, y luego infectadas con Wana Decrypt0r.

¿Que tiene que decir Chema Alonso, uno de los responsables de Telefónica? http://www.elladodelmal.com/2017/05/el-ataque-del-ransomware-wannacry.html

En su entrada de hoy Sábado 13 de Mayo Chema explica que tuvo que dejar sus vacaciones, aunque dice que el equipo que lleva esta crisis está muy preparado. ¿Qué dice Chema? 1) que el ataque ha afectado a más de 70 países (ok, ahora me quedo más tranquilo), 2) que el ataque afecta a servidores windows y distintas máquinas windows (vaya, yo pensaba que Windows era más seguro), 3) que el ataque busca a otros equipos de la red que sean vulnerable - ¡es un ataque inteligente!, 4) que el ransomware no ha conseguido mucho impacto porque sólo 8 personas han realizado pagos en bitcoins. Ya… esto es una soberana tontería. En Thor hay un kit de ataque que explota esta vulnerabilidad. No estamos ante un único ataque, sino a un ataque dirigido a una vulnerabilidad de equipos Windows. 5) dice Chema que alcanzar el 100% de seguridad es un mito. Ok, es una obviedad. Pero reconoce que estás ante un ataque que ha puesto a tu empresa al límite.



CONCLUSIONES

LAS FILTRACIONES de herramientas de hackeo son un error. Son aprovechadas por los delincuentes para atacar antes de que se carguen las actualizaciones de seguridad del sistema.
Estamos ante una amenaza global. Son varios países los atacados, multitud de empresas, españolas y de otros países. Hasta 70 países afectados.
Tener un SO tan expandido es lo que tiene. Pero si todo el mundo usara Linux ocurriría lo mismo. La cuestión es ¿la comunidad de software libre tiene los mismos recursos para defenderse de estos ataques?. Lo dudo seriamente.
El 90% de los servidores de Internet corren Linux, y no se infectan cada dos por tres, dice un usuario de Menéame. La cuestión es ¿cuantas máquinas hay con Windows?, seguro que muchas más que servidores.
El usuario es la parte más vulnerable, si un desconocido te manda un correo con un enlace diciéndote que hagas click, no seas tan idiota de hacerlo. / Esto es algo que ya hemos aprendido con las llamadas.
Por lo que me han filtrado el equipo de comunicación de Movistar ha hecho un gran trabajo quitándole hierro al asunto, pero seamos claros, el asunto es mucho más serio de lo que no han querido hacernos ver. Una empresa de Tecnología ahora mismo está secuestrada por un ataque, los PC´s están desconectados de la red y los empleados con los brazos cruzados.
El año pasado se hizo un ciberataques de este tipo a un hospital privado.
Los hospitales son el objetivo más vulnerable, por dos razones, porque usan Windows XP y software sin actualizar, y porque están dispuestos a pagar con tal de no dejar de funcionar (tened en cuenta de que son estructuras muy vulnerables).
El ataque ha ocurrido un viernes. ¿Por qué un viernes y no otro día?, porque el Sábado hay menos personal capaz de dar una respuesta.
El ataque ha sido simultáneo. Este tipo de ataque buscaba el mayor daño.
¿Cual es la motivación?, ¿de quien ha sido el ataque?. Quizás han sido delincuentes comunes aprovechándose de las vulnerabilidades filtradas. Es muy posible que esto está organizado. Hablamos de un ataque producido por los servicios de inteligencia de un país. Esto es un acto de guerra, de espionaje, que busca debilitar NO a empresas, sino a países.


¿Qué puedes hacer?

haz copias de seguridad continuamente.
Carga las actualizaciones y usa software legal. No desactives Windows update ( si usas Windows).
Borra inmediatamente los correos de desconocidos.
Guarda tus copias en discos duros aislados de la red.


¿Qué va a pasar?.

Lo peor. “a forma en la que este 'ransomware' se ha extendido es novedosa y efectiva, y nadie descarta que volvamos a sufrir pronto un ataque similar. El 'hacker' español Joxean Koret lo comentaba en su cuenta de Twitter: en realidad se trata de "un programa poco avanzado", salvo por un detalle: su componente de gusano. Eso lo hace diferencial y temido, ya que sus autores podrían desarrollar una nueva versión, aprovechar una futura vulnerabilidad aún no descubierta en Windows, y volver a tumbar medio mundo. Ahora ya han comprobado que funciona.”

La NSA ha creado una serie de armas en forma de software que son sumamente peligrosas. Y funcionan. El Viernes se hizo un ensayo a nivel masivo. El siguiente golpe puede que sea el último, el definitivo.

El objeto de este ataque NO era el dinero. Ya se ha demostrado que no han ganado mucho. El objeto era un ensayo.

EL OBJETO NO ERA HACER DAÑO, PERO SÍ PROBARLO. El investigador británico anónimo de 22 años de MalwareTech que ha dado con la solución para frenar el avance del gusano-'ransomware' WannaCry. Tan sencillo como poner a funcionar un dominio que venía en el código del malware. // Al descompasar el software registró un dominio que aparecía en su código. El virus obligaba a visitar ese dominio, si salía un error (no existía el dominio) se propagaba. El lo registró y frenó el avanza del virus.
Los investigadores de seguridad dicen que ese “botón del pánico” estaba allí para ver el comportamiento del ransomware. Nada más.

QUIEN está investigando y cuales son sus planes. ¿Es este un ensayo para un ataque más perfeccionado?. Quizás no sería mala idea tener un equipo aislado de la red.


Para saber más:

Lee lo que Wikileaks dice sobre este tipo de ataques (en inglés): https://wikileaks.org/vault7/

El ataque a un importante hospital de los EEUU: http://globbsecurity.com/ataque-ransomware-hospital-eeuu-38586/

https://www.genbeta.com/actualidad/he-aqui-por-que-no-pagar-ransomware-un-hospital-lo-hace-pero-no-le-devuelven-sus-archivos

El servicio de salud británico confirma el ataque: http://www.eleconomista.es/tecnologia/noticias/8355379/05/17/El-Gobierno-britanico-confirma-un-ataque-informatico-a-gran-escala-en-los-hospitales-publicos.html

http://blogs.elconfidencial.com/tecnologia/homepage/2017-05-14/ciberseguridad-ransomware-wannacry_1382275/

http://www.elconfidencial.com/tecnologia/2017-05-13/ciberseguridad-wannacry-ciberataque-malwaretech_1382194/