Wannacry, Linux y algunas notas interesantes

Publicado por Diego Córdoba en

En este artículo hablaremos de Wannacry, conclusiones de este ataque global, su efecto en sistemas GNU/Linux, y algunas enseñanzas.


Lo que ya sabemos de Wannacry

Hace algunos días, más precisamente el 12 de mayo de 2017, se registró una infección informática a gran escala, que afectó a mas de 200 mil computadoras en 150 países, y que involucró a grandes compañías y entidades, como Telefónica en España, o el servicio de salud británico.

Los análisis de WannaCry, el nombre que se le dio a este ransomware, sostienen que su gran despliegue se debió a cómo el exploit EternalBlue, desarrollado por la NSA (National Security Agency) y filtrado por el grupo de hackers The Shadow Brokers el 14 de abril.

Este exploit hace uso de una vulnerabilidad en el protocolo Server Message Block (SMB) de Windows, el protocolo que el sistema operativo utiliza para archivos compartidos de red. Esta vulnerabilidad fue denotada como la CVE-2017-0144, y Microsoft la parchó el mismo 14 de mazo con el parche de seguridad MS17-010 para todas las versiones de Windows mantenidas por la compañía, y luego, incluso liberó el parche para versiones antiguas, como Windows XP y Server 2003.

Muchos sistemas, aún con las actualizaciones disponibles, no fueron actualizados a tiempo, ya sea por negligencia de los usuarios finales, o porque los usuarios no disponían de versiones «legales» del sistema operativo, o simplemente porque los SysAdmins de las empresas suelen pasarse algún tiempo testeando y parchando sistemas en entornos «stashing» antes de aplicar los patchs en los entornos de producción (ya sabemos las consecuencias de aplicar parches de Windows sin haberlos revisado antes, no? 😛 ).

Un breve resumen lo podemos ver en la siguiente ilustración difundida por los amigos de @DragonJARCon en su cuenta de twitter:

wannacry

¿Dónde inició el ataque?

Si bien en los medios y redes sociales uno de los primeros puntos afectados fue Telefónica España, no fue el único. Al principio, incluso se pensaba que el ataque había sido perpetrado directamente a Telefónica, pero luego resultó desmentido debido a que se vieron afectados otros organismos públicos y privados de muchos países.

Si bien los principales objetivos fueron Estados Unidos, varios países de Europa, China y Rusia, hay reportes de ataques en varios países latinoamericanos.

Dmitry Bestuzhev, director del Equipo Global de Investigación y Análisis de Kaspersky Lab en América Latina, informó a la BBC que varios días antes del ataque ya se habían reportado incidencias en una compañía financiera, y que las incidencias también habían explotado la vulnerabilidad Eternal Blue antes citada, aunque en este caso se utilizó el virus Cript Off, un ransomware de una familia diferente de la del WannaCry.

Por otro lado, y ya hablando específicamente de países latinoamericanos, Vince Steckler, gerente general de la empresa de seguridad informática Avast informó que en Argentina el 18.4% de los equipos Windows no habían sido actualizados, y lo mismo ocurría con el 17.6% y el 14.71% de los windows de Brasil y México respectivamente.

¿Qué dijo Microsoft al respecto?

Brad Smith, presidente y CLO de Microsoft, publicó un artículo en el blog de su compañía, en el que instaba de forma urgente a tomar medidas para mantener a las personas seguras en la red.

 linux wannacry wcry wannacrypto linux ransomwareInvitó a los organismos del gobierno a ejecutar acciones que permitan a las agencias de seguridad reportar vulnerabilidades a los fabricantes directamente, y no guarden esta información para uso particular.

Si bien la NSA advirtió a Microsoft cuando las vulnerabilidades y herramientas de seguridad de la agencia se filtraron a la red el 14 de abril, la NSA ya tenia esta información, y la guardó como un arma para «motivos de defensa».

Smith concluyó con un llamado de atención a los gobiernos del mundo, en el que decía así:

Necesitamos que los gobiernos consideren los daños a los civiles que provienen de la acumulación de estas vulnerabilidades y el uso de estas hazañas. Esta es una de las razones por las que llamamos en febrero a una nueva «Convención Digital de Ginebra» para gobernar estos temas, incluyendo un nuevo requisito para que los gobiernos reporten vulnerabilidades a los vendedores, en lugar de almacenarlos, venderlos o explotarlos.

¿Se pueden recuperar los archivos?

Si bien los expertos en seguridad aconsejan no pagar el rescate de los datos en bitcoins, las posibilidades de recuperación de la información cifrada no son muchas. Incluso, algunos usuarios que sí han pagado el rescate de sus datos, tampoco los obtuvieron.

Una excelente explicación del funcionamiento de este ransomware podemos verlo en el blog de de Hacking for bad pentesters, donde @UnaPibaGeek expuso su funcionamiento, y algunas técnicas de recuperación de los archivos cifrados.

Por un lado, cita a WanaWiki, una herramienta desarrollada por @gentilkiwi y que intenta recalcular las claves de cifrado que utilizó Wannacry para luego descifrar los archivos comprometidos. Esto, basado en una debilidad documentada de la Cripto Api de Winows XP.

Por otro, cita a Telefónica WannaCry File Restorer, una herramienta desarrollada por Telefónica, que aprovecha lo que podría denominarse «vulnerabilidad» del mismo wannacry, e intenta restaurar los archivos cifrados antes de que las versiones originales sean eliminadas del sistema.

Una explicación detallada puede verse en el blog de ElevenPath, vídeo ilustrativo incluido.

Los backups, un gran alivio

Una práctica que parece obvia pero que muchas veces no se tiene en cuenta, es la de establecer una buena política de backup.

Me ocurrió personalmente con un cliente perdió casi toda la información de los discos de sus servidores debido al ataque de un ransomware, y el último backup utilizable se remontaba 4 meses en el pasado. Desde @JuncoTIC migramos toda la infraestructura a sistemas GNU/Linux, y establecimos políticas de backup diarias y un buen filtrado de tráfico de red, con lo que ahora, si ocurriese un incidente similar, sería muy simple recuperarse, aún reinstalando los servidores.

Los ransomwares atacan a los datos de los sistemas en las empresas, porque son uno de los activos más importantes, y muchas veces son mucho mas valiosos que las recompensas pedidas por los ransomwares. Una buena política de backup nos ahorra muchos dolores de cabeza.

Gracias @D4nyR3y73 por tu sugerencia! 🙂

Linux: ¿es vulnerable?

La respuesta a esta pregunta es un NO. Los sistemas basados en Unix no son vulnerables a este ransomware (aunque sí puede serlo para otros). Wannacry es un ransomware que solamente puede correr sobre plataformas Windows, por lo que no está arquitectónicamente diseñado y compilado para correr en entornos Linux.

Sin embargo (siempre hay un «pero»), wannacry explota una vulnerabilidad del protocolo SMB, y en Linux sí disponemos, incluso muchas empresas lo utilizan, servidores SMB/CIFS libres como SAMBA, y sus respectivos clientes.

Linux no se ve afectado, pero sí puede propagar a Wannacry mediante este tipo de servicios.

Una solución es la de reemplazar este protocolo por otros similares para las tareas que necesitemos, y por supuesto, configurar bien nuestro firewall para que no se pueda acceder a servicios SAMBA desde Internet o alguna otra red externa a la nuestra.

¿Y si utilizamos Wine en Linux?

Wine, como muchos sabrán, es un emulador de sistemas windows que corre sobre Linux.

Pues si, si usamos wine, y ejecutamos manualmente el wannacry en nuestro wine, corremos el riesgo de cifrar todo el contenido de nuestro directorio /home! O de el contenido de los directorios montados en c:\, z:\, etc, de wine.

Generalmente wine monta algunas unidades como C:\ en nuestro directorio home, y para wannacry, que sí podrá correr en el emulador, va a ver estos archivos, y va a cifrarlos.

NO es necesario ser root para ejecutar wannacry y que tenga efecto en nuestro Linux, esto es importante recalcarlo… un usuario sin privilegios podrá cifrar su home con este ransomware si no tiene las debidas precauciones. Ahora, si es el root el que ejecutó wine, ejecutó el wannacry, y a su vez, tenía unidades wine montadas en directorios del sistema operativo, como / por ejemplo, sí podrá comprometer todo el sistema.

El problema con esto es que, si bien el wannacry no va a ejecutarse automáticamente en wine, sí el usuario puede ejecutarlo desde su entorno Linux utilizando a Wine como aplicación asociada, y lamentablemente, los usuarios mal entrenados verán el .exe, y lo ejecutarán, pudiendo de esta forma comprometer sus archivos personales.

El amigo @fanta de las redes sociales libres (mastodon, gnusocial) publicó un excelente artículo sobre una prueba de concepto y un video explicativo al respecto. Los invito a leerlo.

Conclusiones…

Para cerrar este extenso artículo, les recomiendo leer una excelente crónica de Wannacry, desde el inicio, hasta el fin de su ataque global con el registro de un dominio por 10 dólares! Escrita por para Genbeta, y que pueden encontrar aquí.

Por otro lado, y ya a modo de reflexión, los invito a pasar por el blog de UnaAlDía, donde los chicos de HispaSec publicaron un excelente artículo de Wannacry y las lecciones que este tipo de amenazas no nos terminan de enseñar. A mas de uno, palabras como CIH o «I love you» nos traerá algunos recuerdos 🙂

Espero que les haya resultado de interés, y será ¡¡Hasta la próxima!!


Los invito a que pases por otros artículos relacionados con los ransomwares y amenazas de seguridad!


¿Preguntas? ¿Comentarios?

Si tenés dudas, o querés dejarnos tus comentarios y consultas, sumate al grupo de Telegram de la comunidad JuncoTIC!
¡Te esperamos!


Diego Córdoba

- Ingeniero en Informática - Mg. Teleinformática - Tesis pendiente - Docente universitario - Investigador