martes, 23 de mayo de 2017

Ataque ransomware en Telefónica y otras (2)

Wannacry desactivado

Finalmente la amenaza de Wannacry (al menos, de esta campaña) parece haber terminado. A estas alturas casi todo el mundo se habrá actualizado su Windows con los parches que Microsoft lanzó dos meses antes, y ante el revuelo y sin que sirva de precedente incluso han sacado parches para sistemas operativos que ya no tenían soporte ni actualizaciones, como es el caso de Windows XP y Windows Server 2003.

Captura ransomware Wannacry

Por su parte el ransomware ha parado de expandirse, aunque por el camino habrán quedado muchos equipos con los archivos cifrados esperando a ver si suena la flauta y los operadores del ransomware liberan las claves de descifrado, ya sea por ver colmadas sus expectativas, o por sentirse acorralados por las fuerzas de seguridad, lo que ocurra antes...

Pero hablemos de como se ha parado la expansión del ransomware.

Un salvador accidental

No voy a entrar en los titulares que los medios han dedicado a la persona que ha parado la expansión del ransomware de un solo golpe. Titulares grandilocuentes como héroe, salvador, genio, etc... denominaciones a las que en honor a la verdad, y tal y como el propio mencionado reconoce en su blog, hay que añadir el adjetivo "accidental".

Aunque inicialmente prefirió mantenerse en el anonimato, al final parece que ha decidido "salir del armario" ofreciendo una entrevista a la agencia de noticias Associated Press el pasado lunes 15 de mayo (el ataque comenzó la mañana del viernes 12).


Primero, darle las gracias pues debido a su rápida intervención registrando el dominio al que trataba de acceder el ransomware, muchos equipos que podrían haberse contagiado no lo hicieron. Mucha gente tendría ahora sus archivos cifrados de no haber sido por él. Eso lo primero.

Y lo segundo las lecciones aprendidas. Tal y como él describe en su blog, no registró el dominio para detener la expansión del ransomware. Detectó que el ransomware, tras cifrar los archivos de la víctima trataba de conectar con un dominio que no había sido registrado para posteriormente comenzar a intentar expandirse usando la públicamente conocida (desde mediados de abril) vulnerabilidad EternalBlue.

Puesto que él se dedica a geolocalizar botnets, registró el dominio y lo apuntó hacia su servidor para disponer de primera mano las direcciones IP en las que aparecía un equipo infectado. Tal y como describe en su entrada, posteriormente puede intentar buscar alguna vulnerabilidad en el malware que sea explotable remotamente para tratar de inhabilitarlo.

Unas cuatro horas más tarde fue cuando descubrió, por mensajes que le llegaban acerca de que el ransomware no trataba de propagarse por la vulnerabilidad del protocolo SMB, que el registro de ese dominio había cambiado el comportamiento del ransomware.

Inicialmente se temieron lo peor, que al registrar el dominio, habían activado la funcionalidad del malware de cifrar los archivos de la víctima, momentos de pánico tal y como describe en su blog. Afortunadamente fue un error al interpretar el código del ransomware. El programador del ransomware había dispuesto un interruptor remoto para detener la propagación de su criatura, que no era más que colocar un servidor al otro lado del dominio al que trataba de acceder el ransomware.

Por poner un símil, este investigador se había encontrado con una caja negra (el ransomware) que cifraba los archivos de las víctimas, y de la que salían cables por un lado y entraban por otro. El se limitó a cortar uno de estos cables y ponerse a escuchar lo que salía del mismo, sin antes estudiar el interior de dicha caja negra. De la misma manera que su acción permitió que el ransomware parara su expansión, ya que el programador del ransomware lo había diseñado así, también podría no haber provocado nada, o lo que es peor, haber provocado que en esa caja negra se desataran otros efectos aún peores... en cuyo caso hoy no estaríamos hablando de héroe salvador sino de otra cosa mucho menos gloriosa...

De cara al futuro es algo que se debe tener en cuenta. No me sorprendería que tarde o temprano apareciera un malware que por hacer un guiño a Wannacry, intentara acceder a un dominio no registrado y que si alguien lo registra y coloca un servidor a la escucha en dicho dominio, el malware comenzara a cometer salvajadas en los ordenadores infectados.

Pero al César lo que es del César. Ha pasado lo que ha pasado, y gracias al héroe accidental como él se autodefine, muchos que se habrían infectado no lo han hecho.

Descifrador para Wannacry

Desde un punto de vista puramente técnico, para mí el héroe de esta película es otra persona que no ha salido tanto en los medios. Me refiero al francés Adrien Guinet. Este investigador estudió la parte del ransomware encargada del cifrado de los ficheros, y se dio cuenta de que podía localizar la clave privada generada en la máquina de la víctima y enviada al centro de control de los que están explotando el ransomware, ya que ésta aún podía permanecer en la memoria RAM del equipo a pesar de que el ransomware liberara los contextos de cifrado proporcionados por las librerías del sistema operativo, en concreto tras la llamada a la función CryptReleaseContext.

Adrien Guinet durante una conferencia en 2.015
A toda prisa desarrolló una aplicación que denominó Wannakey y que puso a disposición de todo el mundo gratuitamente. La condición necesaria para que pudiera localizar la clave privada, aunque no condición suficiente, era que el equipo tras haberse realizado el cifrado de los archivos no se hubiera reiniciado. Solo así, podía existir la posibilidad de que Wannakey pudiera localizar la clave privada necesaria para el descifrado de los archivos, aunque no es infalible ya que la memoria liberada podía ser sobrescrita en cualquier momento por el sistema operativo.

Posteriormente han surgido otras aplicaciones basadas en la anterior como Wannakiwi.

Dudas acerca del ransomware

Tras la polvareda quedan algunas dudas sin respuesta, o al menos por ahora sin respuesta. Además de las típicas de autoría y demás, desde un punto de vista más técnico:
  • ¿Por qué un "botón" de apagado?
  • ¿Por qué un "botón" de apagado que cualquiera puede activar?
  • ¿Por qué este ransomware a diferencia del resto no tiene medidas para dificultar la ingeniería inversa? Por ejemplo, empaquetado de los ejecutables para evitar o dificultar desensamblados, mecanismos de detección de ejecución en máquinas virtuales.
El "botón" de apagado más lógico podría haberse implementado de una manera un poco más compleja, que permitiera a los que lo controlan parar momentáneamente la expansión del ransomware para después volverlo a liberar, pero dejarlo así, sin registrar el dominio a manos del primero que lo descubriera no tiene ningún sentido.

Son dudas que pueden alimentar las hipótesis de algunos respecto a que Wannacry ha sido un ransomware que aún no estaba acabado y que ha podido "escaparse" en alguna prueba preliminar escurriéndose mediante el protocolo SMB usando el exploit EternalBlue. Solo así se entendería que tuviera un "botón" para controlar su expansión de fácil acceso para cualquier investigador (basta con capturar el tráfico saliente de una máquina infectada) y que no tuviera medidas anti-ingeniería inversa.

Recaudación económica

Por ahora, en los tres monederos de bitcoin que usa el ransomware, llevan recaudados unos 49,63BTC que al cambio actual son poco más de 100.000€:
Por ahora solo hay ingresos y ninguna retirada de los monederos. Imagino que para los maleantes el tema es como convertirlos a moneda física o bienes sin que se pueda rastrear que los fondos provienen de dichos monederos...

Es de suponer que ese trío de monederos de bitcoins estarán siendo minuciosamente vigilados por las autoridades para intentar localizar y detener a los autores del ataque. El tiempo dirá como acaba la cosa para los maleantes...


No hay comentarios:

Publicar un comentario