Introducción:

El pasado viernes 12 de mayo de 2017 varias entidades sufrieron un incidente de seguridad relacionado con una nueva versión de ransomware conocida como WannaCry (Quiero llorar).

Este código malicioso, a diferencia de otras variantes de ransomware, logró propagarse en redes Windows mediante la explotación de una vulnerabilidad (MS17-010) que afecta el protocolo SMB (Recursos Compartidos).  Esta vulnerabilidad fue solucionada por Microsoft desde el mes de marzo de 2017,  sin embargo este incidente evidenció que las organizaciones no son constantes con los procesos de gestión de parches de seguridad.

WannaCry afectó cerca de 200.000 equipos en varios países en tan sólo unas horas. Los sistemas comprometidos sufrieron el cifrado/secuestro de  información y al intentar abrir los archivos aparecía un mensaje solicitando una transacción en bitcoins para recuperar la información.

Equipos de seguridad alrededor del mundo desplegaron diferentes estrategias con el fin de detectar y contener la amenaza, se puede decir que WannaCry fue una amenaza de un par de días, ya que los servidores que participaron en el desarrollo del incidente fueron identificados y bloqueados por agencias federales.

Observaciones:

WannaCry es sólo una nueva variante de Ransomware, el ransomware existe desde el 2013 y hemos visto versiones como Cryptolocker, CryptoWall, TestlaCrypt, Petya, Locky, entre otras. El ingrediente especial de WannaCry es la propiedad de propagación a traves del protocolo de carpetas compartidas de Windows.

Incidentes como el descrito en este artículo, muestran que las organizaciones simplemente no siguen las prácticas mínimas de seguridad para detectar, contener y recuperarse ante amenazas de este tipo, a pesar de que la comunidad lleva hablando de este tema ya más de 3 años.

Ya se comenta en sitios esepecializados acerca de una nueva versión de WannaCry a la cuál han bautizado WannaCry 2.0 y las variantes de ransomware reguiran evolucionando cada vez más, generando resultados desfavorables para las organizaciones.

WannaCry ha sido algo especial, no sólo por la técnica usada sino porque sus objetivos principales fueron organizaciones reconocidas a nivel mundial, esto generó pánico en los medios de comunicación lo cuál causó altos niveles de preocupación en organizaciones de diferentes sectores.

Lecciones aprendidas y recomendaciones:

Las organizaciones deben implementar, operar y mantener controles básicos de seguridad para prevenir este tipo de amenazas, en la siguiente gráfica explicamos el flujo de este tipo de incidentes con el fin de identificar algunos controles básicos que pueden estar fallando en la organización.

Con base en este análisis de escenario establecemos las siguientes recomendaciones y su nivel de prioridad:

  • Aplicar las recomendaciones de seguridad establecidas en el boletín de Marzo con respecto a la vulnerabilidad MS17-010, se deben aplicar los parches de seguridad y deshabilitar SMBv1
    Prioridad: Alta
  • Entrene y Eduque a todos los integrantes (empleados, ejecutivos, proveedores, contratistas, asociados) de su organización en temas asociados a la seguridad, haciendo enfasis en amenazas como el phishing y el ransomware.
    Prioridad: Alta
  • Desarrolle y aplique estrategias de Backups, especialmente de la información crítica del negocio. Valide de forma regular que los backups funcionan, ninguna organización está exenta de sufrir un incidente con ransomware la única forma de recuperación es un buen backup.
    Prioridad: Alta
  • Establezca procesos de gestión de parches de seguridad, los profesionales de seguridad se toman su tiempo en identificar las vulnerabilidades, los fabricantes en desarrollar firmas o actualizaciones, nuestro deber es aplicar los parches, es el proceso más sencillo en esta cadena.
    Prioridad: Alta
  • En algunas organizaciones se dificulta el proceso de parchado por temas de estabilidad de la plataforma, si realmente es imposible aplicar un parche mida el nivel de riesgo y establezca controles compensatorios que le permitan la continuidad del negocio.
    Prioridad: Media
  • Desarrolle auditorías mediante procesos de gestión de vulnerabilidades y ejercicios de RedTeam, esto le permitirá identificar las vulnerabilidades de los procesos y tecnologias, al mismo tiempo le permitirá establecer controles para la mitigación de riesgos. No omita las pruebas de ingeniería social ya que estas son esenciales para identificar vulnerabilidades en el factor humano.
    Prioridad: Media
  • Desarrolle e implemente  Estrategias de Continuidad de Negocio, no olvide involucrar un Plan de Respuesta a Incidentes de Seguridad y que estos sean probados al menos una vez al año.
    Prioridad: Baja

Evalue estas recomendaciones y ejecute un plan de forma inmediata con base en su presupuesto, algunos de estos controles no requieren grandes inversiones y se pueden ejecutar en un corto plazo.

 

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like