BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Descifrador del ransomware WannaCry trae esperanza a las víctimas

Los investigadores de seguridad descubrieron más información sobre cómo se propaga WannaCry, y surgió un descifrador del ransomware para salvar los archivos para los afectados.

Las noticias finalmente se han vuelto al menos ligeramente positivas cuando se trata de WannaCry a medida que los investigadores de seguridad han descubierto más sobre cómo se propaga la infección, así como un nuevo descifrador del ransomware que podría salvar los archivos para los afectados.

Los investigadores de seguridad franceses Benjamin Delpy, Adrien Guinet y Matt Suiche trabajaron primero por separado y luego juntos para desarrollar un descifrador del ransomware que debería ser capaz de recuperar datos de sistemas golpeados con el gusano WannaCry. Ellos confirmaron que el descifrador del ransomware funciona en Windows XP, Windows 7 y Windows 2003.

Guinet publicó por primera vez una herramienta llamada wannakey que pudo recuperar la clave de cifrado de RSA utilizada por WannaCry porque la API Crypto de Windows "no borra los números primos de la memoria antes de liberar la memoria asociada". La clave de cifrado se puede derivar de los números primos que quedan en la memoria.

"Esto no es realmente un error de los autores del ransomware, ya que utilizan correctamente la API Crypto de Windows. En realidad, por lo que he probado, en Windows 10, CryptReleaseContext limpia la memoria (por lo que esta técnica de recuperación no funcionará)”, escribió Guinet en las notas de lanzamiento de la herramienta. "Esto puede funcionar en Windows XP porque, en esta versión, CryptReleaseContext no hace la limpieza. Además, MSDN indica esto, para esta función: 'Después de que esta función se llama, el manejo del liberado [Cryptographic Service Provider] ya no es válido. Esta función no destruye los contenedores de claves o pares de claves’. Por lo tanto, parece que no hay maneras limpias y multiplataforma bajo Windows de limpiar esta memoria. Si tienes suerte (es decir, [si] la memoria asociada no ha sido reasignada y borrada), estos números primos podrían estar todavía en memoria”.

Guinet le dijo a SearchSecurity que dado que Microsoft afirma explícitamente que los pares de claves no serán destruidos, lo que él hizo "no fue ciencia de cohetes, solo comprobé que algo que debería haber sido hecho realmente se había hecho!".

Jonathan Sander, director técnico de STEALTHbits Technologies, estuvo de acuerdo.

"WannaCry hace lo que se supone que hace, votar la clave que utiliza, pero no puede cambiar la forma en que funciona Windows", dijo Sander a SearchSecurity. "Windows se aferra a un montón de basura en la memoria hasta que se reinicia. Esta vez, ese mal hábito puede ser una gracia salvadora, ya que contiene los números utilizados para hacer las claves, lo que significa que es ‘matemáticas al rescate’ para hacer idénticas claves con la misma matemática que hizo los originales".

Eficacia del descifrador del ransomware WannaCry

Suiche detalló cómo Delpy utilizó la herramienta de recuperación de claves de Guinet para construir el descifrador del ransomware de WanaKiwi.

Sin embargo, debido a que el descifrador del ransomware de WannaCry solo puede tener éxito si la memoria no se ha sobrescrito o el sistema de destino no se ha reiniciado, Nick Bilogorskiy, director de operaciones de amenazas en Cyphort, dijo que podría ser una carrera contra el tiempo.

"Desde que la infección comenzó el viernes 12 de mayo, para hoy no es probable que los números primos utilizados en el cálculo de la clave todavía estuvieran en la memoria de la mayoría de las víctimas", dijo Bilogorskiy a SearchSecurity. "Espero que pronto veamos nuevas variantes de malware, que rompan este descifrador, por ejemplo, forzando un reinicio después de la instalación; eso hará que esta herramienta sea ineficaz".

Guinet y Suiche no querían especular sobre la eficacia de su descifrador de ransomware, pero Owen Connolly, vicepresidente de servicios de IOActive, dijo que podría ser razonable asumir que la memoria de los sistemas afectados estaría intacta.

"Se requeriría 1) que la computadora no haya sido reiniciada y 2) que ningún otro proceso haya sobreescrito el espacio de memoria donde se encuentran los números primos. En realidad, dependería de la madurez del proceso de respuesta a incidentes de las organizaciones afectadas”, escribió Connolly en un correo electrónico. "Si 1 es cierto, entonces es más probable que 2 sea cierto, ¡porque la máquina está cifrada e inútil para cualquiera!".

Brian Vecci, evangelista técnico de Varonis, dijo que dependería del sistema objetivo.

"Para estaciones de trabajo u otras máquinas reiniciadas con frecuencia, es poco probable que la clave todavía resida en la memoria. Para otros sistemas como servidores de archivos y aplicaciones diseñados para un mayor tiempo de actividad, esto todavía puede ser una herramienta viable", dijo Vecci a SearchSecurity. "Es más valioso para las nuevas infecciones, y también significa que la prevención de la propagación del malware debe ser la prioridad".

Sander dijo que puede haber esperanza porque el descifrador de ransomware podría ayudar a aquellos con malos hábitos.

"Cada clic del ratón significa que la memoria puede volcar los datos necesarios para la cura de WanaKiwi para que funcione WannaCry", dijo Sander. "Sin embargo, las mismas personas que tienen el mal hábito de hacer clic en las cosas que no deben o no parchan para evitar el malware como este, tienen una alta probabilidad de ser personas que nunca dan a sus máquinas un reinicio para acelerar las cosas. Así que sus malos hábitos pueden trabajar a su favor en este caso".

Propagación de WannaCry

Los investigadores también han estado descubriendo más sobre cómo el gusano del ransomware de Wannacry se propagó. Informes iniciales afirmaron que Windows XP era una gran víctima del ransomware, y esta información incluso llevó a Microsoft a lanzar un parche de emergencia para el sistema no soportado. Sin embargo, la información más reciente muestra que Windows 7 fue, con mucho, el más vulnerable, por lo que los expertos dijeron que las víctimas deberían intentar recuperar datos con el descifrador de ransomware de WanaKiwi.

Algunos primeros informes afirmaron que el gusano WannaCry se introdujo inicialmente en dispositivos a través de correos electrónicos de phishing con archivos adjuntos maliciosos. Sin embargo, los investigadores de Malwarebytes Labs dijeron que los actores maliciosos detrás de WannaCry de hecho escanearon los dispositivos con un puerto abierto 445 para poder acceder a las vulnerables instalaciones de Windows Server Message Block (SMB) v1.

"De hecho, el 'gusano ransom' que tomó al mundo con una tormenta no fue distribuido a través de una campaña de correo electrónico de malspam", escribieron los investigadores de Malwarebytes en un blog. "Más bien, nuestra investigación muestra que este desagradable gusano se propagó a través de una operación que persigue a los vulnerables puertos públicos SMB y luego usa el exploit EternalBlue supuestamente filtrado por la NSA para conectarse a la red y luego el exploit DoublePulsar (también supuestamente de la NSA) para establecer persistencia y permitir la instalación del ransomware WannaCry".

Connolly dijo que el tema principal era que las empresas no escuchaban a los proveedores, porque Microsoft advirtió a los usuarios que inhabilitaran SMBv1 en septiembre de 2016 y el US-CERT dio la misma advertencia en enero de 2017.

"Para ser honesto, no puedo pensar en por qué alguien querría tener SMB expuesto a internet. Simplemente nunca es una buena idea", dijo Connolly a SearchSecurity. "Pero en el interior, es una historia diferente y muy a menudo en las grandes empresas obtener una ventana de cambio para implementar un cambio radical como deshabilitar una versión de protocolo es una batalla cuesta arriba masiva... hasta que algo como WannaCry sucede”.

Itsik Mantin, director de investigación de seguridad de Imperva, dijo que las empresas pueden haber escuchado, pero el problema es que puede tomar "meses o incluso años para actualizar los parches de la versión incluso cuando saben que la versión es vulnerable".

"Esperamos que ya todo el mundo haya reparado sus sistemas Windows. Es más importante que nunca que las empresas mantengan y desarrollen sus prácticas de seguridad para asegurarse de que sus datos estén protegidos", dijo Mantin a SearchSecurity. "Una empresa con una buena estrategia de seguridad hará que los delincuentes cibernéticos vivan más duro y les harán mirar a otro lugar para lograr su agenda".

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close