miércoles, 28 de junio de 2017

Qué hacer para evitar el contagio de PetrWrap (NotPetya / Petya 2017)

Antes de ver qué opciones y soluciones existen para evitar la infección de este software malicioso que ha pillado -de nuevo- al mundo por sorpresa veamos un repaso a modo de aclaraciones e información general:
  • PetrWrap -también conocido como NotPetya, Nyetya, ExPetr y Petya (sic)- es un malware del tipo gusano informático y apariencia de ransomware surgido a raíz de otro existente llamado Petya, al cual se ha sumado el aprovechamiento de varias vulnerabilidades conocidas en sistemas operativos Microsoft Windows:
    • La misma que WannaCry (EternalBlue), es decir el protocolo de red SMBv1.
    • Una vulnerabilidad de Microsoft Office y Wordpad (1) (2) ya corregida y relacionada con la ejecución de código remoto.
    • Los recursos compartidos administrativos. Se encuentran habilitados de forma predeterminada y suponen un riesgo al proporcionar acceso a los ficheros de la máquina en la que se encuentran disponibles.
    • La tecnología de gestión "Windows Management Instrumentation" (WMI), que no es una vulnerabilidad en sí misma pero puede ser explotada para acelerar el proceso de infección.
  • PetrWrap además integra una variante de la herramienta de ataque Mimikatz/LSADump -empleada para conseguir las claves de acceso al sistema del usuario actual y otros efectos al fin- con el objeto de conseguir credenciales para desplegarse por la red local.
  • PetrWrap es un malware muy virulento y acabará por extenderse más que WannaCry, aunque posiblemente no tanto fuera de entornos corporativos. Pese a que meses atrás ya se hizo pública una de sus formas de propagación fuera del ámbito informático, la manera en que combina las otras lo hace mucho más peligroso.
  • PetrWrap comenzó su ciclo de vida infectando ordenadores en Ucrania. Se barajan dos vectores originarios de infección mediante el acceso no autorizado y la manipulación de servidores: uno, a través del sistema de autoactualizado del software de contabilidad MeDoc, utilizado a lo largo y ancho del país en todos los sectores. El otro, empleando la web del ayuntamiento de la ciudad de Bajmut, situada al este de Ucrania.
  • PetrWrap es sólo ligeramente menos destructivo que WannaCry. Cifra y elimina algunos tipos de ficheros (principalmente documentos y archivos, no imágenes ni ejecutables; la lista está al final de esta entrada) de carpetas con hasta 15 niveles de anidación, excluyendo c:\Windows. Posteriormente, tras reiniciar el equipo infectado cifra el índice de ficheros del disco duro mientras muestra una falsa comprobación de disco duro (imitando el aspecto del chkdsk integrado en DOS/Windows) para que el usuario no interrumpa el proceso. Es decir, cifra dos veces, dos aspectos distintos. Abarca más y es más rápido en su operación.
  • PetrWrap no es WannaCry 2.0. Este nuevo malware es mucho más versátil y capaz que WannaCry a la hora de encontrar cómo distribuirse y sólo tienen en común una de las vulnerabilidades aprovechadas. 
  • Aunque PetrWrap fue aparentemente diseñado como ransomware, durante sus primeras horas de vida se descubrió que la dirección de correo asociada había sido dada de baja. Posteo, la empresa alemana que gestiona el dominio de la cuenta de correo electrónico que empleaba el malware hizo público que la cuenta fue rápidamente deshabilitada.
  • En todos los ámbitos se está cuestionando por qué los desarrolladores de PetWrap emplearon un método de comunicación para cobrar el rescate tan sencillo de interrumpir. Las estimaciones por ahora son que el objetivo nunca fue generar un beneficio económico sino un perjuicio sistemático, más o menos focalizado, aún por determinar contra quién — aunque ya se sospecha que este ataque suma uno más en una serie (XData, PSCrypt, PetrWrap y una imitación de WannaCry que bien se podría llamar NotWannaCry) dirigida contra el país del este.
  • Adicionalmente, y apoyando estas hipótesis, los análisis realizados desde los laboratorios de las empresas de seguridad Kaspersky y Comae Technologies han señalado que, de cualquier modo, no había posibilidad de recuperar los datos -incluso aún pagando el rescate en los primeros momentos- puesto que el identificador generado para cada víctima no es un identificador calculado sino una secuencia de caracteres generados al azar. Esto convierte al malware en un inutilizador masivo de equipos, sin ser exactamente lo que se viene llamando un wiper -un eliminador de datos-, pero con estructura de ransomware como distracción durante los momentos mediáticos.
  • Dado lo dispares que son los detalles precisos en cuanto a la información disponible -incluso la proporcionada por fabricantes de soluciones de seguridad y entornos técnicos especializados- es posible que se hayan esparcido diferentes variantes de este malware con diferencias menores entre sí.
  • Aún es pronto para saber si se podrá desarrollar un software de prevención que impida todas las vías de contagio.

sábado, 13 de mayo de 2017

Qué hacer para evitar el contagio del ransomware WannaCry

A fecha de hoy casi cualquier persona habrá oído hablar de la situación vista en diferentes países respecto al ransomware llamado WannaCry (también WanaCrypt0r 2.0, WCry o WCrypt). Este malware es una mezcla de gusano y troyano que se distribuye de diferentes maneras, principalmente correos spam, publicidad engañosa y, la más mediática y escandalosa, a través de un agujero de seguridad explotado por malware de terceros (con una historia novelesca detrás digna de Tom Clancy) que afecta a todos los sistemas operativos de Microsoft desde el cambio de siglo: Windows Vista SP2, 7, 8.1, 10 y los Server 2008/2012/2016; en esta lista también se incluyen los que se encuentran sin soporte (Windows XP, 8 y Server 2003). Y aquí es donde está el meollo de la cuestión.

Antes de nada, advertir que si alguien ha visto infectado alguno de sus equipos con "WannaCry" -fácil de verificar por las ventanas amenazantes y la aparición de ficheros con la extensión .wncry-, las posibilidades de recuperar los datos son prácticamente nulas — puesto que el pago nunca es recomendable. No hay descifrado posible de los datos dado que la clave que los cifra no se guarda en el equipo de la víctima. Dicho esto, es posible que eventualmente aparezca una clave maestra o similar; no sería la primera vez.

jueves, 18 de agosto de 2016

Guías y utilidades para mejorar la privacidad en Windows 10

Esta colección busca mejorar la privacidad -y a veces el rendimiento, como efecto colateral- de los equipos con Windows 10 instalado. Las guías y páginas web indicadas no siempre repiten acciones con respecto a las utilidades recomendadas, así pues, no está de más revisarlas y aplicarlas cuando corresponda.

Es necesario señalar que las utilidades no son excluyentes entre sí (algunas tienen particularidades o cubren efectos distintos, y las hay tanto especializadas en un solo aspecto como del tipo todo-en-uno), de forma que será beneficioso iniciar todas las posibles de la lista indicada. Esta redundancia de acciones busca tapar huecos y no es perjudicial para la actividad del equipo o sistema operativo siempre que se encuentre funcionando estable y correctamente.

Se recomienda hacer funcionar y activar todas las utilidades posibles, dentro de las preferencias decididas, tras cada actualización importante de Windows 10. E idealmente después de cada actualización que requiera reiniciar el sistema operativo.
El motivo es que Microsoft suele reajustar a fábrica muchas de las configuraciones de privacidad y funcionalidades más publicitadas -como puedan ser Cortana o Windows Defender- tras cada actualización de cierta relevancia, por tanto los cambios se pierden. Y Microsoft no informa sobre qué restaura y qué conserva.

Recuerde que la política de Microsoft en estos aspectos nunca es pedir permiso antes de activar (opt-in) o desactivar de forma predeterminada, sino permitir -que no ofrecer- una desactivación opcional (opt-out) en el mejor de los casos.