Balance tras el fin de semana posterior al ataque de WannaCry

A primera hora de la mañana del pasado 12 de mayo saltó la alarma: muchas empresas españolas estaban sufriendo ciberataques a equipos con sistemas Windows vulnerables.

Balance tras el fin de semana posterior al ataque de WannaCry

Según pasaba el tiempo, las noticias que llegaban confirmaban que el ataque era a escala mundial, ya que muchas otras empresas multinacionales manifestaban estar sufriéndolo también. Poco después, se dio a conocer el nombre del ransomware responsable del ciberataque, al que se denominó WannaCry.

Básicamente, lo que hace WannaCry en primera instancia es escanear tanto la red interna como la externa.  Para ello realiza conexiones al puerto 445 (SMB) en busca de equipos no actualizados para, a renglón seguido, propagarse a ellos e infectarlos. Posteriormente, una vez que este ransomware detecta un equipo vulnerable, ejecuta un ataque consistente en encriptar todos los ficheros de datos de los equipos afectados, a modo de cibersecuestro. Para obtener la clave con la que descifrar los archivos encriptados, los ciberdelincuentes exigen a los usuarios afectados un rescate de 300 $ por equipo liberado, pago que debe ser efectuado en BitCoins, una moneda virtual que suele ser escogida por los agresores como método de pago ya que les garantiza su anonimato.

Las primeras evidencias de que algo raro estaba pasando nos llegaban de la mano de las últimas versiones de Panda Adaptive Defense y Panda Adaptive Defense 360, ya que estas soluciones de protección avanzada empezaron a detectar y bloquear con éxito un gran número de ataques demostrando con ello su efectividad. Poco después, Panda Security nos confirmaba también que el ataque había sido llevado a cabo mediante la ejecución remota de código gracias a una herramienta de hacking conocida como EternalBlue, una de las herramientas que formaban parte del set de aplicaciones que el pasado 14 de abril, Shadow Brokers declaró haber robado a la NSA (Agencia de Seguridad Nacional de EEUU). El ataque explotaba la vulnerabilidad de SMB (MS17-010) como método de distribución en la red interna.

Aunque todo evidenciaba que las soluciones de Panda estaban siendo efectivas, era CRITICO que nos asegurásemos que todos nuestros clientes tuviesen aplicado el parche de seguridad publicado por Microsoft ya que, de no obrar de ese modo, el agujero por donde se colaba este exploit permanecería abierto. Un factor significativo a tener en cuenta era que se trataba de una actualización que debía ser realizada por el propietario o administrador de los equipos de forma manual y explícita, y esto, no siempre es posible hacerlo a la velocidad necesaria sin impactar en la continuidad del negocio.

Aclarada la situación de partida, nos pusimos de inmediato manos a la obra, activando con ello el protocolo de emergencia en aras de solucionar este problema de seguridad a nuestros clientes.

El resumen de los primeros informes observados en relación a la actuación llevada a cabo es que, desde el viernes 12 de mayo hasta el domingo 14 de mayo:

  • Un equipo de Conasa compuesto por más de 40 técnicos especialistas estuvo trabajando a destajo las 24 horas del día, en turnos de 8 horas, durante los 3 días del fin de semana, con objeto de aplicar los parches de seguridad detectados en aquellos equipos con sistemas Windows vulnerables.
  • En total se revisaron y actualizaron más de 4000 máquinas de compañías de diferentes tamaños y sectores, ubicadas en varios territorios como Madrid, Bilbao, Navarra y Zaragoza.
  • Con respecto a los resultados hemos podido comprobar que algo más del 20% de las máquinas revisadas eran vulnerables al ataque del ransomware WannaCry.

Ayer lunes la semana arrancó con una nueva oleada de ataques que surgían principalmente en aquellas empresas que habían estado cerradas por el fin de semana. En previsión de este escenario, nuestro equipo se ha mantenido con la guardia bien alta, atendiendo las nuevas incidencias que nos han seguido entrando en relación a este problema de seguridad y otros menos excepcionales del día a día. Ante este esfuerzo solo podemos decir…

¡GRACIAS A TODO EL EQUIPO DE CONASA POR SU DEDICACIÓN Y ENTREGA!

Momentos así son los que te hacen estar orgulloso de pertenecer a una compañía con profesionales tan comprometidos.

Desde Conasa apoyamos a nuestros clientes en su día a día digital, proporcionando servicios de valor sobre infraestructuras, sistemas y soluciones de gestión empresarial.

Ante cualquier incidencia de seguridad que puedas estar experimentando te recordamos que estamos a tu disposición en los teléfonos 902 076 459 y 948 130 453.

Muchas gracias por tu confianza.

ebook los 4 actores del cloud
ebook razones