Wannakiwi, una de las herramientas más eficaces para liberarte del virus

Diez días después de su eclosión -y de acaparar momentáneamente todas las portadas- el ransomware Wannacry sigue activo. Son muchos los usuarios afectados que tienen bloqueados los datos de sus equipos y, aunque había aparecido algunas herramientas pensadas en solventar el problema, todas ellas han parecido meros parches que no evitaban tener que desembolsar el «rescate» por el mismo.

Los datos de Kaspersky Lab indican que casi un 98% de los equipos infectados trabajan con una versión de Windows 7 (no actualizada correctamente). Curiosamente, aunque el agujero de seguridad parecía que iba a ser más grave en Windows XP (ya sin soporte), solo 1 de cada 1.000 usuarios afectados por el ransomware empleaba esta antigua versión del software de Microsoft.

Precisamente por eso el lanzamiento de Wannakiwi es una de las mejores noticias: basada en Wannakey, vas más allá que esta al poder descifrar datos secuestrados en ordenadores con versiones Windows XP, Windows 7 y Windows 2003. Además, por lo que hemos podido indagar en internet, hay usuarios con otras versiones posteriores como Vista, Server 2008 y Server 2008 R2 que también han podido liberarse gracias a este software.

Xataka

La herramienta, desarrollada por Matt Suiche -un reputado experto en seguridad que se ha involucrado desde el primer momento en solventar la crisis del ransomware-, ha obtenido la certificación de Europol.

Su funcionamiento, curiosamente, se aprovecha de otra debilidad de la plataforma: Microsoft Cryptographic Application Programming Interface, el sistema que emplea tanto el sistema operativo como Wannacry para encriptar ficheros.

Para recuperar su información es vital no reiniciar el equipo tras detectar la infección y descargarse directamente la aplicación para ejecutarla cuanto antes. Cuanto antes se ponga a trabajar Wannakiwi antes se pondrá a trabajar en el desbloqueo de fichero y antes conseguirá que toda la información quede secuestrada.

Ransomware, ¿cómo ha sido el ciberataque que ha aterrorizdo al mundo digital?

Este es el mapa de afectados por el ataque de ransomware del pasado viernes. Una frase amenazante hizo que el caos se «apoderara» de las ventajas de la era digital: «oops, tus archivos acaban de ser cifrados. Si quieres recuperarlos tendrás que pagar.» En el Estado la más afectada era Telefónica. Cientos de ordenadores de empleados quedaban secuestrados.

El Ministerio de Interior hacía público a lo largo del día que al menos 10 grandes compañías españolas se habían visto afectadas por el chantaje digital. Una pequeña parte que afectó a cientos de empresas en 155 países y cientos de miles de ordenadores. Uno de los casos más llamativos: 40 hospitales en Reino Unido.

La herramienta que se empleó para este ataque a gran escala -el primero de este tipo- fue WannaCry, una clase de malware conocido como WanaCrypt0r o WCry. Las primeras alarmas -aquí- llegaron cuando empleados de la teleco alertaron de que para liberar sus ordenadores necesitaban pagar 300 Bitcoins. Se iniciaba el protocolo de emergencia: se apagaban todos los ordenadores y no se encenderían hasta nueva orden.

Vodafone España, Gas Natural, Iberdrola, Everis, Capgemini… el número aumentaba, lo que hizo que muchas empresas -el ataque iba a todos los sectores y todos los tamaños- decidieran optar por apagar ordenadores. El Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) y el Instituto Nacional de Ciberseguridad (Incibe) se pusieron manos a la obra para averiguar el calado del ataque. Aunque el número de empresas era reducido, el nombre de las mismas era muy llamativo.

La punta del iceberg de un ataque global que se extendió con una velocidad inusitada. Kaspersky detectó hasta 45.000 ataques con WannaCry. Las cifras del ataque eran devastadoras en países como Rusia, Ucrania, India, Taiwán y Tayikistán. Avast, por su parte, detectó más de 57.000 en 28 idiomas, MalWare Tech, empresa que detectó el primer ransomware, sube la cifra hasta los 91.000 -de los que casi 90.000 ya están offline).

El caso más difícil, como hemos dicho antes, fue el de Reino Unido: 40 hospitales y centros de salud con médicos que no podían acceder a las fichas de sus pacientes. Operaciones que tuvieron que ser retrasadas y servicios de urgencias bloqueados.

En Estados Unidos FedEX anunciaba que tenía que dejar apagados sus ordenadores hasta el lunes -incluido-. Portugal Telecom y Megafon (operadora rusa) admitían ataques que mermaban su funcionamiento. Renault-Nissan tenía que cesar la producción en algunas de sus plantas. Universidades en Italia y China. Bancos en Rusia, ayuntamientos en Suecia.

El Confidencial

El factor diferencial

Hasta ahora el ransomware siempre había sido relativamente fácil de solucionar. Alguien enviaba miles de correos infectados y siempre había alguien que abría el adjunto con el archivo ejecutable que le hacía perder el control de su ordenador. Sin embargo, hasta ahora, nunca un ordenador infectaba a otro.

Ese ha sido en este caso el factor diferencial. Aprovechando una vulnerabilidad de Windows se infectaba el primer ordenador e inmediatamente el virus se ponía a buscar otros equipos con la misma vulnerabilidad para entrar y ampliar la red. Es lo que se conoce como un gusano.

La vulnerabilidad de la plataforma de Microsoft, conocida como EternalBlue, es un fallo en el protocolo de intercambio de archivos dentro de una misma red conocido como Server Message Block o SMB. El fallo, desconocido durante mucho tiempo, salió a la luz cuando WikiLeaks desveló que era el sistema que empleaba la NSA estadounidense para entrar en ordenadores y controlar sus operaciones en misiones de espionaje.

El grupo de hackers «ShadowBrokers» lo desveló con la intención de demostrar las malas artes de la inteligencia estadounidense el pasado 14 de abril lo que hizo que Microsoft tuviera que lanzar un parche para evitar lo que precisamente ha ocurrido. Si se hubieran actualizado los ordenadores -algo que siempre recomendamos desde aquí sea cual sea el sistema operativo que utilicemos- el ataque hubiera sido mucho menor: se hubiera reducido a aquellos que aceptaron la descarga del ejecutable y nunca se hubiera creado una red de equipos infectados.

Descartado que fueran hackers patrocinados por algún gobierno -se barajó el chino- desde el momento que pidieron un rescate económico, se puede decir que las ganancias del ataque han sido más bien escasas: poco más de 26.000 dólares. Si bien, su impacto en la sensación de estar completamente desamparados ante un ataque a gran escala han sido enormes.

La solución

La solución a este ataque vino de la mano de un joven de 22 años del Sur de Inglaterra -nada más se sabe- que investiga para Malware Tech y que sintió que debía intentar desensamblar el código del virus cuando vio que se estaba atacando a hospitales y centros de salud.

Con la ayuda de Darien Huss de Proofpint y encontró el dominio de internet www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com que compró en Namecheap.com por 10,69 dólares. Desde el primer momento detectó más de 5.000 conexiones por segundo. Básicamente cuando el virus se instalaba en un equipo intentaba conectarse con la web. Si lo podía hacer bloqueaba el equipo y si no podía -porque estaba actualizado-, se retiraba.

Esto hizo que Estados Unidos se «salvara» puesto que cuando se puso en marcha el parche estaba iniciando el despliegue en el país. Al parecer, los analistas creen que el ataque se trataba de una prueba y que quien lo desarrolló dejó un botón del pánico por si todo esto se iba de las manos. Es lo que en ciberseguridad se conoce como la «prueba de concepto» de un virus. Si bien, desde otras fuentes dicen que lleva habiendo oleadas de este tipo de ataques desde finales de marzo.

Ciberseguridad, mucho más que un juego

Sin duda, la ciberseguridad es uno de los temas más importantes en la Agenda Digital para este 2017. Más allá de grandes titulares sobre hackers, robo de cuentas a empresas y a políticos o posibles ataques cibernéticos equivalentes en daño a los de las armas militares convencionales, la implementación de sistemas de seguridad digital en la sociedad se antoja como una necesidad a corto plazo y como una obligación a medio y largo.

Es por ello que las empresas (grandes o pequeñas) también tienen que iniciar esta segunda reconversión digital para blindar su seguridad en los nuevos entornos 2.0. En este marco, el Instituto Nacional de Ciberseguridad (Incibe), organismo dependiente del Ministerio de Energía, Turismo y Agenda Digital, ha lanzado un serious game dirigido a PYMES y microempresas con el fin de animar a este sector económico -principal motor del mercado estatal- a que adopten medidas de ciberseguridad.

El título, llamado «Hackend-Se acabó el juego«, busca que los empresarios puedan conocer de una forma sencilla y amena las vulnerabilidades que ponen en riesgo sus compañías así como posibles soluciones para combatirlas. El proyecto obtuvo el premio al mejor serious game del año en el pasado F&S de Bilbao. Según sus desarrolladores se centra en mostrar la importancia de la ciberseguridad como una herramienta que no solo protege sino que sirve para crear confianza en los clientes, proveedores, trabajadores y colaboradores.

Max, empresario y detective

La aventura cuenta la historia de Max, un empresario decidido a relanzar su negocio a través de la transformación digital y la adaptación de nuevas tecnologías. Max se convierte en un detective que identifica los puntos vulnerables de su empresa para implementar medidas de seguridad en su empresa para mejorar la protección y detener al responsable de los incidentes de seguridad ocurridos durante el juego.

En sus nueve misiones aconsejará sobre la importancia de pequeños gestos que ponen en riesgo los proyectos de su empresa: desde conectarse a una WiFi abierta hasta no poner contraseña a determinados documentos o dejar una sesión abierta en su ordenador. Los riesgos básicos son los mismos sin importar si se trata de una microempresa o una gran multinacional.

Como no podía ser de otra forma, el juego está disponible de forma gratuita en la App Store, Mac App Store, Windows Store, Facebook y Amazon App Store. Las demás plataformas y sistemas podrán utilizarlo gracias a su versión web.

Un nuevo ejemplo de cómo tecnologías de la información, juegos y formación pueden y deben ir de la mano para facilitar el desarrollo digital mediante herramientas tan eficaces como la gamificación.

Noticia recomendada por Binary Soul

VISA, ¿pueden hackear tu tarjeta en solo unos segundos?

Tesco es el tercer detallista mundial y el primer supermercado del mundo. Su posición en las Islas Británicas es tal que, según un estudio llevado a cabo hace una década, una de cada siete libras gastadas en Reino Unido en 2007 se hacía en un establecimiento de la marca. De hecho, su presencia en algunas ciudades es tal que se las conoce en el sector como Tesco Towns, puesto que más de la mitad del gasto en comestibles se hace en sus supermercados.

Pero aunque sea conocido como un gigante de la distribución es una empresa sobradamente diversificada: desde su tienda en línea en ¡1994! hasta la cadena de restaurantes Giraffe, una empresa de telecomunicaciones en joint venture con O2 pasando por la venta de productos culturales y una entidad financiera que proporciona tarjetas, cuentas, créditos, etc.

Su sólida expansión geográfica por Europa (sobre todo central) y Asia, la han convertido en una empresa de referencia para millones de consumidores en todo el planeta que confían en esta firma que se acerca al siglo de vida.

Sin embargo, su tamaño también la convierte en una diana muy deseada para aquellos que quieren hacer dinero fácil a su costa y a la de sus clientes. De hecho, el mes pasado, la ciberdelincuencia le costo 2,5 millones de libras. ¿El motivo? Fallos en el sistema de pagos de las tarjetas VISA que permiten descubrir el número de las tarjetas de crédito y débito, la fecha de caducidad y el código de seguridad en tiempo récord: 6 segundos.

El método empleado, según ha hecho público un grupo de expertos de la Universidad de Newcastle es el Distributed Guessing Attack en el que la plataforma de seguridad de VISA no detectaba que los criminales simplemente hacían multitud de intentos hasta dar con las códigos correctos de identificación y seguridad de cada tarjeta. Cuando combinaban todos los aciertos se abría la puerta para realizar compras a cargo de las cuentas de terceros.

Como se puede comprobar en la imagen que abre el post, los hackers aprovechaban que empleaban webs que pedían datos de autenticación de la tarjeta distintos con lo que podían conseguir más fácilmente cruzar los errores y aciertos para conseguir el acceso a la tarjeta.

Según Mohammed Ali, uno de los responsables de la Universidad de Newcastle encargado de analizar el fraude, la mezcla de «un número ilimitado de intentos y errores» sumado a «la solicitud de diferentes datos» permitían conseguir el acceso con una enorme facilidad ya que cada campo se puede generar consecutivamente tarjeta tras tarjeta y web tras web para conseguir el robo.

El estudio va más allá (y pone en jaque la seguridad que otorga VISA a sus plataformas de pago) y es que, con solo los seis primeros dígitos de una tarjeta de crédito, los que se encargan de reflejar la entidad bancaria y el tipo de tarjeta, un hacker puede conseguir en solo unos segundos los otros tres bloques de información esencial para hacer una compra online.

Según la multinacional americana el estudio no es válido ya que no tiene en cuenta «las múltiples capas de prevención de fraude que existen en los sistemas de pago en línea, cada una de las cuales debe ser validada para hacer una transacción». Por si fuera poco, consideran que tanto los comercios como los emisores deben tomar medidas para evitar ataques por fuerza bruta como estos. ¿Es hora de dar un salto en los sistemas de seguridad de pagos virtuales?

Seguridad e internet, ¿qué es un ataque DDoS?

Sin duda, ha sido la noticia de la semana, el pasado viernes las páginas de servicios como Twitter, Spotify, Netflix o PayPal dejaron de funcionar correctamente o, incluso, dejaron de funcionar. Al principio muchos usuarios pensaron en fallos puntuales de sus operadores -el ataque comenzó en zonas aisladas de la costa Este de Estados Unidos-, no obstante, en poco tiempo se pudo corroborar que se trataba de un ataque DDoS sobre Dyn, uno de los principales proveedores de DNS (acrónimo de Sistema de Nombres de Dominio en inglés).

Aunque todavía no hay datos concluyentes sobre el origen y el motivo del ataque, ya hay expertos -como los de la firma de seguridad Flashpoint- que aseguran saber cuál ha sido la herramienta utilizada para perpetrar el ataque: una enorme cantidad de cámaras IP y dispositivos grabadores infectados con malware que permitía a los atacantes controlarlos de forma remota y dirigir una enorme cantidad de tráfico hacia un mismo objetivo: Dyn.

Flashpoint, de hecho, se ha atrevido a dar un posible nombre que tienen en común gran parte de estos dispositivos zombie: XiongMai Technology, un fabricante chino de componentes que vende a terceros. Esto confirma que el ataque DDoS -en castellano, un ataque de denegación de contenido- tuvo como herramienta dispositivos IoT.

Aunque es cierto que no es ninguna novedad: el mayor ataque de este tipo que se recuerda tuvo como objetivo OVH que llegó a recibir un flujo de información de 1 Tbps de más de 145.000 cámaras IoT y equipos grabadores. El motivo es sencillo: hay una enorme cantidad (en 2020 habrá más de 80.000 millones de dispositivos conectados) de los que un gran porcentaje trabajando durante todo el día) y son fáciles de infectar ya que los fabricantes no están tomándose en serio su seguridad.

De esta forma, con herramientas sencillas como Mirai se pueden escanear la red en busca de dispositivos desprotegidos o que emplean las contraseñas por defecto del fabricante con lo que es muy sencillo coordinar un ataque.

Al fin y al cabo, un DDoS suele consistir en dirigir una enorme cantidad de información contra un objetivo para que este, sobrepasado por el flujo, deniegue el acceso a los usuarios habituales dejando en suspenso el servicio.

De esta forma, la mezcla de una gran cantidad de dispositivos, un bot como Mirai Botnet y un objetivo atractivo al que atacar convierte los DDoS en una forma limpia de sacudir la red. Además, este formato de ataque otorga un mayor anonimato al autor ya que pueden realizar uno o varios grupos a la vez sin ni siquiera coordinarse. La única buena noticia es que el ataque del viernes tuvo como único objetivo bloquear páginas web y servicios relevantes y no realizar un robo de datos -para los que habitualmente se emplean herramientas más sofisticadas-.

La duda que nos surge ahora es que, si se trata de la tercera vez que se realiza un ataque de este tipo en poco tiempo (en agosto de este mismo año una famosa web de seguridad recibió 620 Gbps y quedó inoperativa), ¿a qué esperan las autoridades para legislar sobre la seguridad de los nuevos equipos inteligentes? En cualquier caso, nuestra recomendación, es dejar de utilizar las contraseñas por defecto en equipos domésticos como los módem. Nos protegerá de formar parte en el ataque o de posibles robos de datos.