WannaCry MORE? 

¡Sigue confiando en el marketing de los fabricantes de seguridad!

Algunas lecciones que podemos aprender del ataque ransomware WannaCry

12 de mayo de 2017 – el día de la marmota para los veteranos que han visto ya las películas de LoveLetter, Nimda, o Conficker, o el Apocalipsis para los “modernos” que vivien todo el dia "enchufados" y que se creen todo lo que es cool y soundy, NGen y XG y no esperaban un terremoto tan fuerte y tan cercano de su existencia digital. Sí, me refiero al ransomware WannaCry, un ataque que se veía venir desde hace tiempo, pero el mensaje de las Cassandras ha quedado escondido debajo de tantas noticias de IoT, Self-driving cars, robots y Artificial Intelligence.

No voy a entrar en muchos detalles sobre el ransomware, ya lo han analizado y expuesto varios fabricantes y varios expertos en seguridad (por supuesto, estos días he descubierto con sorpresa que vivo en un país lleno de expertos en seguridad, lo que me hace sentir más seguro) … solo quiero añadir algunas pinceladas que a mí personalmente me parecen interesantes y no tan publicitadas:

•       Han sido algunos fabricantes que han detectado WannaCry desde el primer momento, sin necesidad de actualizaciones de firmas, de motores (he visto también esta necesidad en un Next Gen EPP) y sin empujar actualizaciones en varios formatos. Un enlace interesante deVirusTotal muestra las soluciones que lo detectaban el viernes 12, a las 7:30 de la mañana; y si pensamos que el nombre bajo cual lo detectaba Bitdefender era Gen:Variant.Graftor.369176 ya tenemos las marcas que comparten motores y detecciones.
•    Hemos visto casas grandes que no han conseguido detectar WannaCry ni teniendo un antivirus + un next gen EPP. Esto puede dar por pensar a los que creen todo lo que ven en Powerpoints.
•      El pánico ha jugado su papel y ha sido uno importante. No digo que no fue el caso para una alerta roja, pero se ha visto la poca preparación con el plan de respuesta a las incidencias. 
•       Parece que dos meses para aplicar un parche importantede seguridad no son suficientes. O no lo han sido en este caso, aunque el tema de la vulnerabilidad explotada por NSA le ha dado algo de publicidad... 
•      La combinación de la fuerza de intrusión de una vulnerabilidad como EternalBlue con la fuerza destructiva de un ransomware es tremenda. Probablemente en el futuro no tan lejano vamos a ver nuevas combinaciones explosivas de este tipo. 
•       WannaCry ha hecho mucho daño en la empresa grande, que ha pecado de soberbia en adaptarse a la nueva realidad del cibercrimen. Pero ellos tienen armadas de sysadmins y copias de backup. Los muchos que han sufrido en silencio y algunos han tenido que pagar ya, y de cuales nadie habla, han sido las PYMES. 
• Aunque se ha opinado que lanzando el ataque un viernes los autores se han disminuido la posibilidad de cobrar un buen rescate, parece que la evolución no ha sido mala: 350 000 USD and counting (a día de martes)...
•      Se ha demostrado que las tecnologías clásicas no han sido capaces de bloquear WannaCry. Pero tienen maquinaria de marketing y han osado a salir a dar lecciones después de añadir detecciones en sus productos. Después de la tormenta… muchos gallos cantan. Pero han sido chicos entusiastas que han tenido la iniciativa de probar las soluciones populares frente a WannaCry, y publicar unos resultados bastante ilustrativos (son muy amigos de Cylance, alabando so modo off-line, que por supuesto funciona con Bitdefender y algun otro fabricante igualmente de bien, pero el test me parecio relevante y confirma mi información). 
• Y todo esto pasó un viernes 12, no quiero pensar lo que hubiera sido si era un VIERNES 13

¿Conclusiones? no me atrevo a sacar conclusiones porque anticipo que es solo el piloto de una telenovela bastante amplia.

Hasta pronto…¡Stay SAFE!