¿Por dónde ataca el ransomware? Tres pilares fundamentales

Todo comienza por un tweet de un investigador (Allan Liska, de RecordedFuture) en el que anuncia que está recopilando una lista de las vulnerabilidades que actualmente están siendo aprovechadas por grupos organizados en operaciones relacionadas con el ransomware.

Era, y es, una buena idea, por lo que la cara buena de Internet comenzó a obrar y comenzaron a llegarle colaboraciones extendiendo el conjunto de vulnerabilidades. Al final, se llegó a una foto más o menos fija (ya sabemos que en tecnología, los años pasan en días):

Esos son, en buena medida, los culpables de muchos quebraderos de cabeza y pérdidas millonarias hoy por hoy. Esa lista cambiará, se caerán algunos CVEs por agotamiento mientras que entrarán otros nuevos sustituyendo a los anteriores en un perverso ciclo que parece no tener fin.

Si observamos bien la imagen, podemos ver que se corresponden a vulnerabilidades en productos que tanto pueden residir en el perímetro de red de nuestra organización como los propios sistemas de escritorio o la nube.

Existe heterogeneidad en la clasificación y se corresponde directamente con esta otra publicación del CERT neozelandés que ilustra perfectamente cómo funciona una operación ransomware a grandes rasgos:

La tabla anterior entraría en la primera fase, inicial, donde se produce el primer contacto. Así, por ejemplo, las vulnerabilidades que afectan a Microsoft Office se desencadenan a través de la conexión “Email -> Malicious Document -> Malware”, mientras que las que afectan a un producto situado en el perímetro de la red expuesta hacia Internet quedarían en “Exploit software weaknesses”.

No acaban las conexiones aquí. Las vulnerabilidades que son propias de sistemas operativos suelen conllevar la elevación de privilegios que garantizan dos cosas principalmente: acceso y persistencia; en el grafo: “Take control -> …”.

Una vez que han entrado en el perímetro se pivota hacia el descubrimiento de sistemas internos, explotación, toma de control y elevación de privilegios. A partir de aquí se va buscando dónde está el valor de la compañía, sus datos. Y no solo ya los datos vivos, sino que se intenta acabar con las copias de seguridad, única solución viable contra el ransomware una vez que todo control preventivo ha fallado.

Básicamente, podríamos resumir en estos tres puntos son los pilares básicos contra los que golpean los grupos de delincuentes:

1. Vulnerabilidades que permiten tomar el control del dispositivo expuesto hacia Internet.
2. El factor humano como punto de fallo explotable por la ingeniería social.
3. La configuración y puesta en marcha deficiente.

El pilar técnico (explotación de vulnerabilidades críticas)

En el primer caso, el control es la prevención y alerta. Se ha comentado muchas veces, los equipos deben estar siempre actualizados. No hay excusa posible. Si tenemos una dependencia en una tecnología en vías de extinción, es una cuenta atrás hasta que sea reemplazada. Así que mejor adelantar su sustitución que postergarla indefinidamente.

Además, no solo se trata de esperar al parche del fabricante, en cuanto se tenga noticia de la aparición de una vulnerabilidad ya debemos poner algún tipo de contramedida para dar por hecho que van a explotarla mientras se mueve ficha.

Existen infraestructuras que se diseñan apostándolo todo a un punto concreto del perímetro y, cuando este cae, las consecuencias son devastadoras. No podemos otorgar toda la responsabilidad a un solo control. La planificación de una defensa debe dar por hecho que el compromiso de ese punto en la red puede darse en cada momento. Que un equipo forme parte de una red interna no debe generar confianza. Imaginemos a un extraño que se cuelga un identificador en la camisa y va paseándose por los departamentos de una oficina a su antojo.

De hecho, un buen puñado de vulnerabilidades son descubiertas cuando ya está haciendo estragos. Es decir, un zero-day, que se descubre precisamente por su actividad, no es detectada por ninguna solución antiviral o similares. No existe firma, no se ha visto antes, no es sospechoso y sin embargo tumba equipos y sistemas. Hay que estar mental y técnicamente preparados para encajar un golpe de este tipo. Tienes tus equipos correctamente actualizados y, sin embargo, son comprometidos.

El pilar humano (phishing e ingeniería social en general)

En este caso, estamos hablando de malware que necesita de la ayuda de un humano para actuar. Ya no se trata de una vulnerabilidad que pueda tomar el control directamente de un equipo o al menos correr como un proceso. Lo que tenemos es una involuntaria mano amiga con un dedo que toma la terrible decisión de enviar dos pulsaciones a través del ratón y desencadenar una cascada de acciones que terminan mal.

Esa decisión se toma porque se ha proporcionado una información falsa que genera una situación percibida como segura por una persona. Un teatro. El rey de esto es el correo electrónico, pero incluso ya tenemos operaciones que se montan y ejecutan haciéndose pasar por gerentes o jefes de departamento. La ingeniería social funciona. Siempre.

¿Funciona la concienciación como contramedida? Es paradójico. Imaginemos en la Edad Media un castillo que se quiere defender de una posible toma por sorpresa. El sargento de la guardia sermonea cada noche a los vigilantes para que estén atentos. Se induce una situación de alerta que los soldados interiorizan, pero que terminan normalizando al ver que noche tras noche no ocurre nada. Hasta que llega el momento en el que asaltan los muros y les pilla…con la guardia baja a pesar de los continuos avisos y arengas del pobre sargento.

Quizás el problema es que llamamos concienciación a lo que deberíamos llamar (y hacer) entrenamiento. El entrenamiento es lo que genera una respuesta adaptada a un problema concreto. Haz que tus empleados entiendan el problema al que se enfrentan. Dales la oportunidad de que aprendan mediante ejercicios simulados. Si en vez de la continua alerta el sargento hubiese entrenado a sus hombres con incursiones nocturnas, posiblemente hubiesen interpretado los signos tempranos de una invasión y ahora no estarían bajo fuego enemigo.

La ingeniería social funciona no porque no se está en alerta continua sino porque no se saben identificar las señales adecuadas para detectar que estamos ante una trampa. Recordemos, que aun estando en 2021 aún funcionan timos clásicos como el de la estampita o el tocomocho (prueba a buscar en las noticias).

El pilar del descuido (Todo (mal) por defecto)

Este tipo de brechas se encuentra a medio camino entre el fallo técnico y el humano. El primero por sacar a mercado un producto o sistema que contenga una configuración poco exigente con la seguridad y el segundo por hacer el despliegue e integración sin darle importancia a cambiar los parámetros o efectuar el bastionado.

El caso más claro es el sistema con una cuenta con credenciales por defecto. Ha habido (y siguen surgiendo) centenares de casos bien documentados. Cuando se hace un pentest no falta la fase de ir tocando puerta a puerta esperando que una de las claves habituales sirva para abrirla.

Un caso muy sangrante es el CVE-2000-1209 o el clásico Microsoft SQL Server con la cuenta ‘sa’ y sin contraseña (más bien, contraseña a ‘null’) que llenó los informes de auditoría y pentest durante muchos años. De hecho, a principios de 2000, surgieron varios gusanos que explotaban este descuido.

Mirai también hizo su agosto con este tipo de despistes. La botnet de los IoT llegó a alcanzar una buena suma de nodos gracias a un simple listado de cuentas por defecto en todo tipo de sistemas de red, puestos en marcha y olvidados a su suerte en la Internet.

En el cine, existe un cliché muy famoso en el que uno de los protagonistas forcejea con una puerta hasta agotarse. Entonces otro de ellos, con cierta sorna, se acerca a esta y la abre simplemente girando el pomo. La imagen se nos debe quedar grabada. Esa libertad para girar el pomo y abrir se la estamos dando nosotros a los cibercriminales.

Es un ejemplo que muestra que a veces no es necesario un arduo esfuerzo en buscar una vulnerabilidad de día cero que nos permita ejecutar código arbitrario. Son las que peores sientan porque es un mal que podría haberse evitado de forma extremadamente sencilla: cambiando la contraseña por defecto por otra adecuada y robusta.

Habitualmente, se cae en esto por varios motivos, por ejemplo: prisas por acabar las cosas debido a una mala planificación, personal no formado en ciberseguridad, pensar que el fabricante posee una configuración segura por defecto, ausencia de una política de seguridad (sin guías, ni controles), etc.

Conclusión

Como hemos visto, el ransomware entra por la puerta al menor resquicio que se le deje. Cuando está dentro, se pone cómodo en nuestra casa, donde bajamos la guardia y finalmente, cuando quizás es demasiado tarde, nos arruina en dimensiones que van desde una mala tarde al cierre completo del negocio.

Identificar las posibles vías de entrada y sus técnicas son palos fundamentales que deben aprenderse para planificar nuestra defensa. O eso o entregarse a la suerte y que no nos toque la lotería, esa que lleva como décimo: “Todos sus archivos han sido cifrados…”.