Mi análisis de WannaCry

Viernes 12 de mayo de 2017, 11:32 horas de la mañana, Madrid. Comienza a sonar mi teléfono móvil, en la pantalla el nombre de un buen amigo, respondo la llamada, él con voz preocupada me dice que está siendo víctima de un ciber-ataque, ya ha reiniciado dos veces los servidores VPS (Virtual Private Server) de su empresa, ha tratado de recuperar los «snapshots» de sistema, pero todo sigue igual, una situación incontrolada que ha dejado sin servicio a su empresa. Llamo al ingeniero responsable de sistemas, me comenta que no sabe lo que ocurre, pero que todos sus servidores VPS están comprometidos, los cores del sistema están al 100% de rendimiento, cuando no tendrían que superar el 20%, la tasa de transferencia de red contratada ya hace horas que fue sobrepasada, la páginas web de la empresa están caídas, algunas de ellas simplemente no cargan, otras redireccionan automáticamente a webs que nada tienen que ver con la empresa. Después de una larga conversación con el responsable de sistemas, llegamos a la conclusión que el vector de entrada ha sido un plugin de un CMS que tenían instalado en todos los VPS, a través del cual se podía tomar el control de las máquinas, ahora les queda una larga tarea de análisis de código afectado y bastionado del sistema para que esto no les vuelva a ocurrir. Fin.

Fig 1. htop en Linux

Sábado 13 de mayo de 2017, 13:00 horas, mi casa. El IDS (Sistema de Detección de Intrusos) que tengo instalado, comienza a detectar tráfico malicioso en una de las VLAN de casa, más concretamente la VLAN correspondiente a la red WiFi, Dirección IP de origen: 172.30.2.25, o lo que es lo mismo, la dirección IP que el servidor DHCP le había asignado al portátil de un amigo que estaba en casa tomando un café. Con razón me decía que el portátil le iba lento y le duraba poco la batería, lo que me sorprende es que todavía le siguiera funcionando con lo que después vimos que tenía instalado. Fin.

Sábado 13 de mayo de 2017, 22:00 horas, un restaurante cualquiera. Un familiar me llama por qué su teléfono móvil comenzó a vibrar sin parar, al tiempo que le aparecía un mensaje por pantalla en el que le advertía que tenía que instalar un antivirus en su móvil, o si no un virus lo iba a infectar. Tan pronto pulsó el botón de «Instalar Antivirus», el teléfono se apagó para no volver a encender nunca más. Fin.

Domingo 14 de mayo de 2017, 12:00 horas, la calle de mi casa. Veo llegar a mi vecino en su coche con el cristal delantero derecho fracturado y la puerta impregnada en una especie de polvo blanquecino. Me cuenta que mientras él estaba entrenando en la piscina climatizada de la ciudad, alguien rompió la ventanilla de su coche y le sustrajo de su interior, una gafas de sol de marca, el pendrive que tenía conectado al radio-cd del coche y un sobre con 300 EUROS, el dinero era para pagar la fiesta de cumpleaños de su hijo, la iba a celebrar esa misma tarde. También me cuenta que cuando se encontró con el coche así, antes de tocar nada, lo primero que hizo fue llamar a la Policía, al poco tiempo llegó un radio patrulla policial que le preguntó qué le habían robado y si había visto a alguien por las inmediaciones, él no había visto a nadie. Los policías le recomendaron que llevará su coche a la Comisaría para que los especialistas de Policía Científica lo examinaran, y así también podía formular denuncia por lo que le había ocurrido. Fin.

Fig 2. vehículo con la ventanilla fracturada

Lunes 15 de mayo de 2017, 17:00 horas, festivo  en Madrid. Recibo un Whatsapp de un amigo con el que salgo a montar en bicicleta, me dice que cuando estaba comprobando su extracto bancario detecta una serie de cargos fraudulentos realizados a través de su tarjeta bancaria,  en los que el concepto figura PayPal, él dice que no ha hecho ninguno de esos cargos, pero al entrar a su cuenta de PayPal descubre como efectivamente esos cargos estaban realizados desde su cuenta de PayPal. El dinero se envió a una página web de videojuegos online con sede en Estados Unidos. PayPal abre una incidencia por lo ocurrido para analizar el caso y determinar si le tiene que devolver el dinero a mi amigo o no. Fin.

Martes 16 de mayo de 2017, 10:00 horas, mi trabajo. Un compañero me comenta que a un primo de su mujer que estaba realizado un Trabajo de fin de Máster, le «entró» un ramonware ransomware en el portátil y le cifró todos los ficheros que tenía en el ordenador, entre ellos, el documento de Microsoft Word con el TFM a punto de acabar, me dice que el chico está de los nervios, ya que las copias de seguridad que tenían, estaban en el propio ordenador y también se le cifraron. Fin.

Fig 1. ramonware ransomware

Quizás os estáis preguntado a que viene que ponga un articulo con estas seis historias sin nada en común. Pero, a lo mejor sí que tienen algo en común, y lo que tienen en común es que en las seis historias se habla de lo mismo, de delitos, delitos tipificados en un Código Penal como por ejemplo puede ser el español. Delitos en los que las víctimas son personas conocidas, personas con las que salgo a tomar café o andar en bicicleta, familiares, no son grandes corporaciones, ni Estados, son ciudadanos normales, ciudadanos que también pueden ser víctimas de ciberdelitos y a los que posiblemente, un delito de este tipo, le cause proporcionalmente más perjuicios que a otro tipo de grandes organizaciones.

Las grandes empresas, ya tienen departamentos de seguridad TIC, CISOS, y otro tipo de estructuras que le permite tener un plan de contingencia en caso de ciberataque ciberdelito, muchas de ellas realizan simulacros como si de un incendio se tratase, ya saben exactamente lo que tienen que hacer y como lo tienen que hacer en caso de sufrir un ataque. ¿Pero qué ocurre con el resto de ciudadanos?, ¿Realmente saben cómo protegerse/prevenirse de un ciberdelito?, ¿Saben que pueden denunciar los hechos en cualquier Comisaría como si de un robo en un coche se tratase? ¿Saben cómo tienen que tratar las pruebas de un ciberdelito en caso de que fueran victimas?.

 Yo no tengo respuesta para esas preguntas, pero sí sé que cada semana me llaman varios amigos y conocidos, contándome que han sido víctimas de un ciber delito y no saben que tienen que hacer, no saben si pueden denunciar o no, no saben cómo recopilar esas pruebas básicas, y lo que es peor, no saben cómo protegerse de este tipo de delitos. Y no por que no quieran saber, si no porque no tienen la oportunidad de que nadie los pueda enseñar, y eso me da ganas de wanna cry.

Pero este problema no se arregla llorando, este problema se arregla trabajando, y trabajando duro, muy duro, trabajando a todos los niveles posibles y tratando de llegar al mayor número de población, desde las instituciones como el Plan Director para Centros Educativos de Policía Nacional o Guardia Civil. Desde Asociaciones como X1Red+Segura, iniciativas como Palabra de Hacker, desde las distintas Conferencias de Ciberseguridad que a nivel nacional hablan de estos problemas y como protegerse de ellos. Instituciones como Incibe. También desde las Unidades especializadas en lucha contra el Ciber Crimen: la UIT de la Policía Nacional, el GDT de la Guardia Civil, incluso internacionales como EC3 de Europol o Interpol. Es muy importante la prevención, pero también lo es la averiguación del delito, ya que cuando la prevención falla, solo queda la persecución del delincuente. ¿Qué ocurriría en una sociedad que al delincuente no se le castiga, que solo se le trata de frenar o mitigar?, creo que esa sería la sociedad ideal para cualquier delincuente, una en la que pueda delinquir sin miedo a consecuencias.

Así que ya sabéis, si no queréis que para la semana que viene escriba un nuevo artículo con vuestras llamadas contándome los que os ha ocurrido, tenemos que hacer este esfuerzo entre todos, para lograr que Internet no se convierta en una Jungla en la que el más fuerte gana, para que Internet no sea un lugar en el que querer llorar #WannaCry.

Para los que llegasteis a este articulo pensando que iba a tratar sobre el análisis exhaustivo del funcionamiento del malware Wanna Crypt: i´m sorry 😉 Pero para compensaros por tal vil engaño, os dejo, lo que para mi han sido los mejores artículos que he leídos en estos seis días sobre Wanna Crypt, espero que los disfrutéis tanto como lo hice yo:

«POC – WannaCrypt 2.0 – Análisis del Ransomware que ataca a organizaciones secuestrando su información», by: iHackLabs

«Wannacry, ransomware reloaded, guión de un ataque sin precedentes». By: Silvia Barrera

«Evolución de Wannacryptor y análisis de las consecuencias del ataque». By: Josep Albors

«Mi Opinión sobre Wanacryptor». By Jose Aurelio

«Informe 17/17». By CCN-CERT

» Cómo recuperar ficheros afectados por WannaCry. Telefónica WannaCry File Restorer» By: Chema Alonso.

«No Woman No Cry – Ransomware WannaCry». By: Tamara Hueso.

— «WannaCry: Un ransomware con algo especial«. By: Platon

 

¿Me recomendáis alguno más?

Salu2

¿Te ha gustado este artículo? Si quieres, puedes ayudarme a escribir el siguiente artículo de GLIDER invitándonme a un rico café.

 

Pulsa Aquí para invitarme a un café con hielo.

  Salu2.

Manuel Guerra

Mi nombre es Manuel Guerra. Investigador especializado en: [eCrime] | [Forensic] && [Hacking]. Editor de GLIDER.es

Navegación de la entrada


Comentarios

  • Raul

    Pues a pesar de tu vil engaño me ha gustado mucho. Un Saludo Manu

  • LuisMi Kali

    Muy buena idea el contenido de la exposición, Manu, pues reconozco que ha sido una sorpresa.
    Historias que por desgracia son cada vez más comunes. Y no está de más, ante la expectación creada por la infección masiva del Ransomware WannaCry hacer un repaso de delitos similares y lo que es más importante, DENUNCIAR ante las Fuerzas del Orden Público tales ilícitos para así puedan ser investigados; amén de conocer su creciente existencia y ante iniciativas que enumeras en el post y otras más que tenemos a nuestra disposición, hacer conciencia de la seguridad informática, que empieza desde el usuario de a pie. Saludos.

    • Manuel Guerra

      Así es, una pena, pero no por eso nos vamos a desanimar!! Hay que seguir concienciando

      Un saludo Luis.

  • Platon

    Hombre, si hay que recomendar yo recomiendo el mio http://www.sombreroblanco.es/2017/05/wannacry-un-ransomware-con-algo-especial/

    • Manuel Guerra

      Pues me parece bien que recomiendes el tuyo 😉

      Añadido a la lista!!

      Saludos

  • Javier Merchán

    Muy bueno el artículo. Puestos a recomendar…obtiene la clave privada y descifra los ficheros (siempre y cuando no hayas apagado el PC despues de la infección o algún otro programa haya machacado los datos necesarios en memoria) https://amp.thehackernews.com/thn/2017/05/wannacry-ransomware-decryption-tool.html

  • Matias

    Che, podrias contarnos un poco mas de tu «equipo» (halbnado sobre tu IDS y demases)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puede usar las siguientes etiquetas y atributos HTML:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>