viernes, 12 de mayo de 2017

Ataque ransomware en Telefónica y otras

Introducción

Hoy 12 de mayo ha ocurrido. Telefónica, y otras empresas según el comunicado del CCN-CERT, han sufrido un ataque de ransomware. No es la primera ni la última empresa a la que le pasará esto, pero en este caso el tema ha ido a mayores ya que el ejecutable que despliega el ransomware parece ser que usa un exploit basado en una vulnerabilidad ya corregida por Microsoft en su boletín MS17-010. No estamos hablando de hacer click en un adjunto a un correo y un ransomware te cifra los archivo de tu máquina, si no que además el ransomware se propaga a través de la intranet (ya sea intranet física o virtual a través de VPN) a todas las máquinas Windows que pueda localizar.

Logo de Telefónica
No voy a escribir sobre el ransomware usado (según el CCN-CERT una variante de WannaCry), si no un poco sobre la historia de la vulnerabilidad que se ha usado para expandir el ransomware por gran parte de la intranet de Telefónica España y otras.


¿NSA? exploits

Hace prácticamente un mes (mediados de abril), el grupo Shadow Brokers liberó un paquete de exploits que dicen haber robado a Equation Group, un grupo al parecer vinculado a la NSA americana (o incluso pueden ser parte de la propia NSA).

Dentro del paquete, varios de ellos afectaban al servicio SMB de distintas versiones del sistema operativo Windows. Microsoft lanzó casi inmediatamente un comunicado indicando que las vulnerabilidades ya habían sido corregidas anteriormente en forma de actualizaciones para los sistemas operativos afectados.

En concreto, las que afectaban a las últimas versiones del sistema operativo Windows ya habían sido corregidas por Microsoft un mes antes (a mediados de marzo). Concretamente la vulnerabilidad que se ha usado según el CCN-CERT se corrigió en el boletín MS17-010.


En casa del herrero...

El comunicado del CCN-CERT relaciona el acontecimiento con la aparición "hace unos días" de pruebas de concepto utilizando los citados exploits.

Y buscando dichas pruebas de concepto nos saltan, entre otras cosas, una entrada en el blog "Un informático en el lado del mal" titulado "Hackear Windows 7 & 2008 R2 con Eternalblue y Doublepulsar de #ShadowBroker usando #Metasploit". La entrada de ese blog llama mucho la atención, ya que el blog es de Chema Alonso, presidente de ElevenPaths, la "unidad global de ciberseguridad de Telefónica".

Logo ElevenPaths
En dicha entrada se expone como exportar el exploit Eternalblue junto con el plugin DoublePulsar para inyectar una librería al proceso remoto comprometido en el conocido framework Metasploit. Dicha entrada se basaba en un documento de uno de los autores fechado nada y nada menos que el 17 de abril, tres días después de la filtración por parte de Shadow Brokers.

En la propia entrada recomiendan encarecidamente, y cito:
Si eres un personal de IT te recomendamos que apliques los parches de seguridad para esta vulnerabilidad lo antes posible las máquinas de tu empresa o dominio, ya que es una vulnerabilidad crítica que podría ser explotada por cualquiera, al no requerir la interacción por parte del usuario, solamente disponer de conectividad con la máquina.
Chema Alonso ha comunicado vía Twitter que ElevenPaths no ha sido afectada, que él no es el responsable de TI de Telefónica y que sus compañeros están trabajando en el tema junto con el personal de TI de Telefónica.

Tweet de Chema Alonso
Efectivamente no es responsabilidad suya, pero no deja de ser irónico que en una de las compañías más afectadas en España por este ataque, su unidad de ciberseguridad estuviera trabajando sobre dichos exploits, comprobando y advirtiendo de su efectividad desde hace ya casi un mes...

En otros tweets aclara que no ha sido Telefónica la única afectada tal y como afirma el comunicado del CCN-CERT. A estas horas también se sabe que el servicio de salud británico (NHS) también ha sido atacado por este ransomware, y esto ya es algo más peliagudo ya que puede afectar a la salud de las personas.


En fin, una vez más podemos aplicar aquello de "en casa del herrero, cuchillo de palo"...

1 comentario:

  1. Precisamente porque se propaga en la intranet. Es que es sumamente importante tener un buen servicio de Intranet para empresas, imagina si a telefonica le pasa, a otras empresas les puede suceder.

    ResponderEliminar