logo

Ciberatac del ransomware WannaCry

Aquest divendres van saltar les alarmes per un ciberatac a escala global causat pel virus denominat WannaCry. De ben segur que ho haureu sentit per les noticies, que indicaven que una de les principals afectades va ser Telefónica de España.

Sota el punt de vista de la comunitat tècnica, que des de ICOT compartim, tot plegat ha estat més mediàtic que no pas tècnic. WannaCry no deixa de ser un virus més del tipus ransomware (segrest de dades) en que es calcula, a data d’avui que la seva afectació global ha estat de 200.000 equips, molt pocs comparats amb els 5 milions de CryptoWall o 11 milions de Locky.

Què fa diferent el virus WannaCry dels altres?

Que s’han utilitzat els exploits (mètodes d’atac a vulnerabilitats del sistema amb la forma d’explotar-les) que el grup de hackers Shadow Brokers va robar de la NSA i va fer públic, obrint la veda als malefactors perquè les puguin utilitzar. Així ha passat amb WannaCry. No obstant, no va ser la única vulnerabilitat publicada, n’hi ha més, i aquí és on s’han de dedicar els esforços:

Nom  en codi Solució
EternalBlue MS17-010
EmeraldThread MS10-061
EternalChampion CVE-2017-0146 CVE-2017-0147
“ErraticGopher” Addressed prior to the release of Windows Vista
EsikmoRoll MS14-068
EternalRomance MS17-010
EducatedScholar MS09-050
EternalSynergy MS17-010
EclipsedWing MS08-067

El que ha passat és que, tot i que Microsoft ja va corregir i publicar les solucions a aquestes vulnerabilitats, la majoria d’empreses no han fet els deures d’aplicar-les a les seves infraestructures. Ja sigui per falta de temps, per falta de comprovació de compatibilitats amb aplicacions existents, per desconeixement, etc…

Si feu els deures de mantenir actualitzats els sistemes amb les actualitzacions que publica Microsoft cada 2n dimarts de mes, ja esteu protegits sobre aquesta vulnerabilitat!

En el cas de WannaCry s’ha explotat la vulnerabilitat EternalBlue dels sistemes Microsoft Windows que afecten al protocol SMB v1. Aquest protocol s’utilitza per connectar als sistemes de fitxers d’un equip a un altre per la xarxa, compartir els fitxers. Aquesta primera versió té uns quants anys, uns 30!!!! Ja toca jubilar-la. Així ho va recomanar Microsoft en un article el mes de setembre del 2016: https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/ Indicant que era un protocol insegur.

La preocupació és de com ha passat l’atac, que no considerem massa normal:

  • Atacar un divendres? Deixant tot el cap de setmana per recuperar els sistemes?
  • Deixar un interruptor per tancar el virus tant a la vista en el codi? La compra del domini que l’aturava de moment.
  • Utilitzar el virus per un segrest de dades més mediàtic al ensenyar ràpidament una pantalla.
  • No guardar-se aquesta informació per robar informació, no es nota i és més lucratiu.
  • Els encarregats de sistema s’han afanyat a aplicar el pegat que afecta a aquesta vulnerabilitat i han tancat la porta.

De ben segur que hi haurà conseqüències que poden ser molt més greus. EternalBlue és el primer de la llista, no es tracta de tancar aquesta vulnerabilitat sinó de tancar-les TOTES les publicades.

Des de ICOT hem treballat per anar desactivant aquest protocol SMBv1 en els nous sistemes, però hi ha molts dispositius heretats que encara l’utilitzen. És el cas d’impressores que escanegen en unitats de xarxa i dispositius NAS.

Arribats a aquestes alçades, ja no es pot allargar més el patiment i hipotecar la seguretat de l’empresa per una impressora o un dispositius NAS antiquats.

Un sistema informàtic és tant segur com el seu punt més dèbil. No hipotequem tot el sistema per una impressora o un NAS.

També és moment d’assentar els peus i establir, si no ho teniu fet, les polítiques de seguretat. Avui dia et protegeix molt més una bona política d’actualitzacions, tallafocs, BotNETs, GeoIP, FORMACIÓ I CONSCIENCIACIÓ ALS USUARIS, etc… que un anti-virus. I sí, ho dic així mateix, perquè un anti-virus de signatures NO pot aturar un atac d’aquestes característiques, es necessiten sistemes més avançats, on la intel·ligència artificial i té molt a dir, que treballin conjuntament: actualització de sistemes operatius, aplicacions, firmwares de dispositius, APTs, auditories de seguretat, monitoratge, etc….

Què fem ara per protegir-nos davant altres ciberatacs?

Les accions que recomanem per assegurar el sistema informàtic sobre aquestes vulnerabilitats, a banda d’aplicar el sentit comú, són:

  • Deshabilitar el protocol SMB v1, inutilitzant el mètode d’atac.
  • Actualitzar els sistemes operatius amb les últimes actualitzacions publicades pel fabricant. I aquí no volem dir només Microsoft Windows, sinó també Apple, firmwares de dispositius NAS.
  • Conscienciar als usuaris que no obrin correus electrònics estranys i que informin ràpidament de qualsevol sospita.
  • Tenir les còpies de seguretat al dia. I per còpia de seguretat no ens referim a les instantànies (snapshots) de Windows o equivalents, sinó a tenir les dades en una segona ubicació i, a ser possible, fora de línia. Recordeu la premissa 3-2-1. 3 còpies de seguretat, 2 ubicacions diferents, 1 externa.
  • Tenir la xarxa monitoritzada per detectar punts calents tant bon punt es produeixin.
  • Realitzar auditories de seguretat freqüents, a la recerca d’aplicacions que no haurien de ser, ports oberts que haurien d’estar tancats, falta d’actualitzacions en equips, etc…

Deshabilitar el protocol SMB v1 segons sistema operatiu:

Microsoft Windows Server 2012 R2 i Windows Server 2016
Deshabilitar la característica Compatibilidad con el protocolo para compartir archivos SMBv1.0/CIFS des d’afegir o eliminar característiques
O bé, per Powershell:
Remove-WindowsFeature -Name SMB1

Microsoft Windows 8.1, Windows 10, per PowerShell:
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

Microsoft Windows 8 i Windows Server 2012, executar la comanda de PowerShell:
Set-SmbServerConfiguration -EnableSMB1Protocol $false

Microsoft Windows 7, Windows Vista, Windows Server 2008  i Windows Server 2008 R2
Executar les comandes de PowerShell:
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 -Force

En tots casos, cal reiniciar el sistema un cop aplicada la modificació!. Podeu trobar informació més detallada clicant aquí.

Crear polítiques de grup GPOs per desactivar SMB v1

En entorns corporatius amb Windows 7 es pot fer una distribució massiva per GPO executant un script que bloquegi el protocol:

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

En què us pot ajudar ICOT davant un ciberatac?

No cal dir que restem a la vostra disposició pel que us calgui, però volem recordar-vos que tenim a la vostra disposició diferents contractes per assegurar el bon funcionament dels sistemes per poder dormir tranquils:

  • el contracte de manteniment de CPD, on es delega el manteniment dels servidors, tenint el sistema monitoritzat per ICOT. Amb ell es reparen les incidències abans que es puguin produir o, quan s’han produït fruit de l’operativa habitual, incloent, com no, les actualitzacions dels sistemes operatius, aplicacions i firmwares dels mateixos.
  • el contracte de gestió de ciberseguretat 24/7, on es realitzen comprovacions de vulnerabilitats contínues en els sistemes, ja siguin interns o externs. Es duen a terme les actuacions per solucionar les vulnerabilitats trobades.
  • Servei de reten 24/7 per donar solucions de nivell 1 i escalables a incidències fora dels horaris laborals.
  • la bossa d’hores a petició, ja sigui de sistemes o microinformàtica,

Per la vostra tranquil·litat, tots aquells que disposeu d’aquests contractes de manteniment s’està duent un repàs de la infraestructura per part dels nostres tècnics.

Pels que no disposeu d’aquests contractes de manteniment, podeu sol·licitar una actuació sobre la vostra infraestructura per tancar aquests forats.

Comments are closed.