WannaCry, Petya y los que están por llegar…

IMG_20170629_134910

PoorBoy es un chico trabajador, PoorBoy sale de casa a la mañana, debe llegar hoy más temprano que nunca a la oficina, el jefe le requiere a primera hora. Marcha raudo y veloz, le gusta llegar temprano, y más aún si debe hablar con su jefe. 

Se dispone a coger el transporte público y elige tomar el autobús, es más lento que el tren pero ha salido temprano y puede permitirselo, total, es más barato. Llega a la parada, observa el panel digital con los horarios, pero no ve nada más que un texto criptico que no consigue entender desde lejos, le extraña, pero decide ir a la web de la compañía para descargar la tabla de horarios, pero la página no carga; ¡ah espera! ¡si!, hay un mensaje: 

-‘LA PAGINA WEB ESTA FUERA DE SERVICIO, DISCULPE LAS MOLESTIAS’

Le parece curioso cuanto menos, asi que decide esperar un poco más junto con las demás personas en la parada, el tiempo pasa y pasa y el bus no llega, ante la espera y el frío mañanero decide ir rápidamente a la cafetería que tiene a sus espaldas, necesita calentar un poco el cuerpo, así que se acerca a la camarera sonriendo y le pide un cortado para llevar, le da un billete de 5€, pero la camarera avergonzada le dice: 

-‘Señor, tendrá que darme el dinero exacto, por que el cajon-portamonedas inteligente no funciona está mañana y no le puedo dar ningún cambio’ 

PoorBoy desiste y se va a la parada de autobús de nuevo, cuando se esta acercando ve como la multitud en tono enfadada y bociferando se marchan, un operario de la compañía de autobuses les ha dicho algo, pero aún lo desconoce, así que toma carrerilla , se acerca y le pregunta que ocurre, a lo que le responden: 

-‘La nueva y reluciente flota de autobuses 100% eléctricos no funciona, y debe esperar ¡1 hora o mas, a que lleguen los autobuses ‘normales”

-¡Imposible! Hoy me requiere el jefe, piensa PoorBoy.

Así que se aleja deprisa a retirar algo más de dinero para ir en tren, llega al cajero más cercano, pero ve que no funciona, hay un mensaje  en pantalla bastante llamativo, le suena haber visto algo así antes, pero no presta demasiada atención, no hay tiempo para ello, así que rebusca en su mochila y encuentra otro billete de 5€, ¡Bien!, le llega para el tren, se va a la parada más cercana, baja las escaleras rápidamente, llega a la máquina de los tickets y visualiza el mismo mensaje del panel digital, el cajón portamonedas inteligente y del cajero, está vez muy extrañado decide leerlo y el texto empieza así:

‘ YOUR FILES HAVE BEEN ENCRYPTED'”

El mensaje que lee PoorBoy, nuestro personaje de la historia, ya todos sabemos que es el tipico de un ransomware, cómo podría ser el tan sonado WannaCry y el renacido Petya, que algunos conocían ayer. Una historia como la contada al principio de esta entrada, puede parecer ficción, pero nada más lejos de la realidad, a día de hoy es posible y podríamos decir que esta ocurriendo, ocurrió con WannaCry, ocurrio con Petya y volverá a ocurrir pronto con otro, solo es cuestión de tiempo.

Cómo ya todos imagino que sabréis, Petya al igual que WannaCry estan usando EternalBlue, exploit robado a la NSA por parte del grupo The Shadow Brokers. Petya y WannaCry son los ransomware de toda la vida, pero con capacidades de expandirse en la red como gusano, ésto gracias al protocolo SMB y a la vulnerabilidad que existe en la v1 del mismo; una curiosidad, al menos para mí, es que ambos ransomwares llevan un Kill-switch, o dicho de una forma más específica, una condicion en el código que comprueba: en el caso de WannaCry, la existencia de un dominio y en el caso de Petya, la existencia de un fichero en %windir%, cuando dicha condición da TRUE para el dominio (WannaCry) y ese fichero en %windir% (Petya) la expansión se detiene y el proceso de encriptado también, y aquí es cuando entramos a pensar, ¿Por que detener la expansión ? ¿A caso los malos no son tan malos?, ¿Por que meter un Kill-switch? Al final acabara alguien encontrandolo y detendra la expansión y con ello, los ciberdelincuentes tendrán menos dinero en sus crypto-wallets a final de mes, no parece muy lógico, esto es lo que ha hecho a mucha gente pensar que la finalidad no es obtener dinero, solo hay que ver que el dinero recaudado con WannaCry está intacto en sus wallets.

No quiero parecer un visionario ni mucho menos pero cuando empecé a escribir esta entrada le llamé: “WannaCry y los que están por llegar”, además mientras voy escribiendo me voy enterando de la finalidad de Petya o NotPetya, como empiezan a llamarle ahora, es destruir por destruir y no por obtener dinero , según este análisis dice:

Petya.2017 is a wiper not a ransomware

2016 Petya modifies the disk in a way where it can actually revert its changes. Whereas, 2017 Petya does permanent and irreversible damages to the disk.

Es decir, Petya existía desde hace ya un largo tiempo, pero era un ransomware como tal, se podían recuperar los archivos ya que los cambios eran reversibles, este último NotPetya tiene gran parte del código pero fue modificado para usar EternalBlue, EternalRomance y para que los cambios que hiciera en el MBR fueran irreversibles, borrando ciertos sectores del mismo y escribiendo sobre ellos, al final un ‘Wiper’, es decir, hacer daño por hacerlo.

El famoso grupo The Shadow Brokers, dice tener más Tools/exploits de la NSA, y que pronto serán liberados. Si esto es así y están al nivel de criticidad de EternalBlue, nos esperan más ataques de este estilo. Lo peor de este caso, es que NotPetya siga siendo tan dañino, solo por el hecho de que se expande usando una vulnerabilidad de SMB en la versión 1, y que dicha vulnerabilidad tiene parches hasta para las versiones sin soporte de Windows. Cuando ocurrió el caso WannaCry me pareció un poco desastre que grandes compañías no hubiesen aplicado un parche de tal nivel, después de casi 2 meses, ahora después de otros casi 2 meses de WannaCry, NotPetya sigue provocando revuelo usando una vulnerabilidad de hace 4 meses.

Unos decían en defensa de las grandes compañías, que no es fácil aplicar parches de un día para otro, que deben ser testeados en todos los ámbitos para que las aplicaciones internas no presenten ningún fallo, y el problema se agrava si existen miles de equipos por gestionar, otros decían lo contrario, lo que si es cierto es que después de 4 meses, yo creo que ya no hay escusa y menos, cuando ya se sabía que una de las soluciones más efectivas era desactivar la versión 1 de SMB, lo cual era relativamente sencillo.

Así que acuerdate, desactiva SMBv1, aplica reglas de firewall para el puerto 445, y sobre todo estate atento al próximo leak de The Shadow Brokers, y si no eres el encargado de estas gestiones, ten preparadas unas palomitas para lo que está por llegar, seguro que no se te llegan a enfriar, y esperemos que otros hagan su trabajo, sino, ¡muchos nos convertiremos en PoorBoy!

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s