Estos últimos días una nueva ciberamenaza obtuvo notoriedad, WannaCry. Se trata de un tipo de código malicioso clasificado como ransomware, de aquellos que “secuestran” datos de equipos para exigir dinero a cambio de devolver el acceso a su propietario. O sea, una vez infectada la máquina, cifra los archivos y muestra una pantalla en la cual exige un rescate en dinero, típicamente en la moneda electrónica bitcoins que, que a diferencia del dinero en efectivo, no deja rastros cuando se mueve y permite circular valores entre los delincuentes.
Lo interesante es que WannaCry explora una vulnerabilidad del sistema operativo Windows, conocida hace por lo menos dos meses, y que permite la ejecución remota de un código a través de una vulnerabilidad en el servicio SMB (Service Message Block).
¿Qué nos deja de lección el episodio?
1. Crecimiento de las amenazas cibernéticas: Las amenazas crecen en términos de magnitud y agresividad. Con la creciente conectividad, cada nueva amenaza tiene el potencial de infectar a más equipos.
2. La ciberdelincuencia está creciendo: Esta nueva amenaza también nos recuerda que la ciberdelincuencia está creciendo, ya que cada vez más las amenazas tienen una motivación financiera. Ellas se tornan más peligrosas porque las organizaciones criminales que las orquestan tienen cada vez más recursos. Pueden desarrollar “armas” sofisticadas y actuar globalmente con ellas.
3. Impacto real en los negocios: Se volvieron comunes durante los últimos días noticias de empresas que fueron contaminadas y tuvieron que pagar por el rescate. Otras, decidieron desconectar los equipos. En los dos casos, se torna claro el impacto en términos de costo (sea por el pago del rescate o, peor, por la pérdida de productividad).
4. La prevención es fundamental y comienza con pequeñas cosas: La vulnerabilidad es conocida hace por lo menos dos meses, cuando Microsoft publicó un boletín recomendando la actualización de los sistemas Windows para corregirla. Un trabajo de Gestión de Patchs, complementado con Gestión de Vulnerabilidades, habría evitado ese dolor de cabeza. Realizar copias de seguridad frecuentemente es otra práctica bastante común que ayuda en situaciones de ransomware. Son conceptos sencillos, pero que necesitan ser realizados de forma consistente, con procesos, herramientas y personal entrenado.
5. Microsegmentar la red: La utilización de herramientas para la microsegmentación reduce los estragos. Al aislar sistemas por microsegmentos, el movimiento lateral realizado por el malware se contiene, y él no contamina una gran cantidad de equipos en red. Opte por la microsegmentación por software, enfocándose inicialmente en sistemas más críticos. Eso permitirá la adopción rápida, sin impacto en la arquitectura de la red y con reducción de costos. A mediano y largo plazo, la técnica aumentará la seguridad y permitirá la simplificación de la red al reducir la complejidad de firewalls internos y segmentación vía VLANs.
6. Monitoreo de Comportamiento de Malware: En todo momento surgirán nuevas amenazas, las cuales serán desconocidas para las herramientas tradicionales de seguridad que trabajan con firmas y estándares de malware conocidos. La utilización de herramientas de corrección de eventos es un control necesario, pero no es suficiente. Prepararse para el malware nuevo requiere de un SOC (Centro de Operaciones de Seguridad) más inteligente, que identifique comportamientos anómalos incluso cuando se presente un ataque nuevo con firma desconocida. En el caso de WannaCry, la comunicación mediante la puerta de SMB, el comportamiento de moverse lateralmente dentro de la red, y la dirección de su “maestro” que intenta contactar, son indicios típicos de que algo extraño está sucediendo y que permitirán a un SOC inteligente detectar la nueva amenaza a tiempo.
7. Respuesta a incidentes: Una vez detectada la nueva amenaza, se requiere de una rápida respuesta. Las respuestas automáticas o manuales podrían bloquear el tráfico sospechoso y eliminar de la red a los equipos contaminados. La utilización de una Arquitectura de Seguridad Adaptable es recomendada para responder de modo dinámico, cambiando la arquitectura de subredes a la medida en que las contaminaciones sean identificadas. Un ejemplo es colocar en cuarentena los equipos contaminados y evitar que los mismos contaminen a otros.