Nuevas tipologías de ransomware: ataques y contramedidas
En este undécimo Especial quería repasar algunos de los últimos ataques y contramedidas más sonados que adelantan un escenario verdaderamente escalofriante. El cifrado de archivos es solo la punta del iceberg de una industria del cibercrimen consciente del negocio que habría detrás de su aplicación a nivel masivo y genérico.
Es, de facto, un tema que me preocupa. La llegada de cada vez más dispositivos del Internet de las Cosas sin tan siquiera unas medidas básicas de seguridad, y que gestionan información o sistemas con cada vez mayor impacto en nuestro día a día, facilita demasiado las cosas a los malos.
El informe está ya disponible en formato PDF, o también, si lo desea, en línea, bajo estas palabras.
Índice de contenido
Del ransomware al RoT
Eran las 3:30 p.m. de un 23 de diciembre, y los ciudadanos de la región Ivano-Frankivsk de Ucrania occidental se preparaban para terminar su jornada de trabajo y dirigirse a casa a través de las frías calles de invierno. Dentro del centro de control de Prykarpattyaoblenergo, que distribuye energía a los residentes de la región, los operadores también se acercaban al final de su turno. Pero justo cuando un trabajador estaba organizando los papeles de su escritorio, un cursor en su computadora de repente se deslizó a través de la pantalla por sí solo.
Observó mientras éste parecía navegar con intención hacia los botones que controlaban los disyuntores en una subestación de la región y luego hacía clic para abrir los interruptores y desconectarla. Una ventana de diálogo apareció en la pantalla pidiendo confirmación de la acción, y el operador miró asombrado mientras el cursor se deslizaba hacia el botón y hacía clic para confirmar. En alguna parte de la región sabía que miles de residentes acababan de perder las luces.
Así empezaba el relato de Jose A. Bernat para Wired (1) sobre el hackeo que sufría hace un año una de las centrales hidroeléctricas del oeste de Ucrania que dejó durante seis horas a cerca de 230.000 personas sin luz.
Repito: En Ucrania… Sin luz… En diciembre, con una temperatura que oscila entre 2 y -8º C…
El golpe, muy bien orquestado, hizo mella en el sistema SCADA de la hidroeléctrica mediante un secuestro de cuenta de la VPN (necesaria para acceder al sistema), deshabilitando el UPS de la subestación y cortando con ello la energía de más de 200.000 hogares. Hablamos de un ataque a una infraestructura crítica para el país y para sus ciudadanos. Y una simple prueba de concepto de lo que está por llegar.
Estas navidades ocurría algo parecido en Helsinki (2). Un DDoS dejaba sin servicio la calefacción de varios edificios controlados por remoto por el sistema de Valtia. ¿Va uniendo los cabos?
Viajamos ahora a San Francisco y al último viernes de noviembre. En hora punta, todas las máquinas de emisión de billetes de tranvía dejan de funcionar. En la pantalla, el siguiente texto:
You hacked, ALL data encrypted, contact for key([email protected])ID:681, Enter key:Missing operating system_
¿El culpable? Una variante de HDDCrypto (3), un ransomware que habitualmente infecta mediante ficheros adjuntos en email, que en este caso se había encargado de secuestrar el sistema MBR, necesario, como seguramente sepa, para ejecutar el sistema operativo.
Los extorsionadores pedían 100 bitcoins, lo que sería en su momento alrededor de 75.000 dólares, y dejó a la ciudad con transporte gratuito, y unas pérdidas económicas cuantificadas en algo más de medio millón al día, durante todo el fin de semana, mientras los operarios iban paulatinamente cargando backups anteriores en las máquinas.
Le pongo estos tres ejemplos porque este escenario está ya siendo el pan nuestro de cada día. El problema del ransomware no pasa únicamente por todo lo que supone para una organización de pronto perder acceso a parte o la totalidad de sus archivos informáticos, sino lo que supondrá conforme el ransomware se expanda hacia otras tipologías más sofisticadas de secuestro de activos.
La prueba de concepto de Andrew Tierney y Ken Munro, investigadores en Pen Test Partners, es un claro ejemplo. En la última DefCon demostraron cómo era posible secuestrar mediante campañas de phishing a una serie de modelos de termostatos inteligentes (4).
Bastaba con que la víctima (o el propio atacante) insertara un fichero en el sistema mediante USB, algo que permite entre otras cosas cambiar el fondo de pantalla de la interfaz o actualizar su configuración, para secuestrar el termostato. Una campaña de spear phishing haciéndose pasar por técnico de la compañía, o la difusión de imágenes o configuraciones enfocadas a cada modelo supuestamente legítimas, serviría de gancho. Y el resultado es la necesidad por parte de la víctima de pagar un rescate para recuperar el control de la temperatura de su hogar. Temperatura que podría ser modificada en remoto por el atacante, incluso atentando contra la vida de las personas que estuvieran en su interior.
Secuestrando el internet de las cosas
2016 ha sido el año del ransomware, y algunos expertos aseguran que el 2017 será el año del ransomware of things (RoT).
La idea no parece descabellada. En la mayoría de hogares pasamos de tener conectados únicamente los ordenadores, las tablets y los smartphones, a hacer lo propio con smart TVs, pulseras, cámaras IP, electrodomésticos y un sin fin de elementos de electrónica de consumo, juguetería y domótica.
Dispositivos que hasta entonces únicamente estaban expuestos a riesgos locales, y que de pronto, debido a su capacidad de conectividad permanente, y a una política de bajos precios en la que no se incluye el desarrollo de protocolos seguros, dan el salto a un riesgo global inabarcable.
Dispositivos que gestionan la salud de sus dueños (bombas de insulina, marcapasos…), que controlan la temperatura de una estancia (termostatos), la apertura y/o cierre de ventanas y puertas (domótica), la intensidad lumínica (domótica) y un largo etcétera.
¿Qué pasa si un buen día la nevera “se niega” a seguir emitiendo frío para mantener adecuadamente los productos? ¿Si la lavadora deja de hacernos caso, o peor aún, se encarga de aplicar un programa que estropea nuestra ropa? ¿Qué hay si ese cierre electrónico de nuestra puerta de entrada no nos deja salir?
Son consecuencias de una falta de protocolos de seguridad en productos tecnológicos que nos rodean, y tienen, además, un impacto físico en nuestro día a día.
Y eso enfocado al usuario de a pie. Ahora pensemos en las implicaciones que tendría algo semejante en el hospital más cercano, en la oficina donde trabajamos, en la depuradora que nos suministra el agua o, simplemente, en las calles de nuestro barrio. No hablamos de un robo puntual de información personal, de una extorsión a secas. Hablamos de que un buen día nuestro coche puede negarse a funcionar hasta que hagamos efectivo un pago. Que el hospital a donde vamos tenga que destruir todas sus reservas de sangre porque sencilla y llanamente se han echado a perder (5). Que ningún trabajador de la oficina pueda salir o entrar de ella hasta que los dueños paguen para desbloquear los cierres de seguridad. Que los semáforos de nuestro barrio, o la cadena de suministro del gas (6), se apague durante unas horas.
A este tipo de ataques se les ha empezado a conocer bajo el término jackware (7). La idea no es por tanto tomar el control de un dispositivo cuyo propósito sea procesar o comunicar información, sino bloquear la función primaria del producto para que el propio dispositivo sea incapaz de operar. Lo cual afecta de forma directa a cualquier potencial víctima.
Medidas de contingencia a considerar
¿Qué podemos hacer para minimizar el impacto de estas nuevas tipologías de ransomware?
Lo cierto es que poco sin el apoyo de todos los stakeholders envueltos, de una u otra manera, en el negocio. Manufacturers, proveedores, gobiernos, y como no, usuarios.
Es necesario que todo dispositivo que salga al mercado con capacidad de conectividad cuente con unas medidas de seguridad básicas, y entre ellas, la capacidad (y el compromiso) de recibir actualizaciones críticas de seguridad. Es algo en lo que la Unión Europea está trabajando, pero temo que para cuando llegue ya nos hayamos cobrado más de una víctima mortal.
La creación de un marco que fomente el intercambio de información entre los sectores público y privado, es otro de los grandes deberes de la industria. Generalmente el ataque se conoce cuando ya ha causado el mal, y la mayoría de organizaciones implicadas están más interesadas en minimizar el impacto de la posible crisis reputacional que se pueda desprender del suceso que de minimizar el riesgo real en la industria.
A nivel terrenal, algunos de los acercamientos actuales en sistemas anti-ransomware podrían aplicarse a entornos de RoT.
Como explicaba no hace mucho Chema en su blog (8), Latch ARW se sirve del control de permisos de directorios y archivos de Windows, y el sistema de pestillos de Latch, para evitar que un ransomware genérico cifre el contenido del disco. Y es esa misma abstracción de Latch (un servicio que controla el acceso a un elemento de otro sistema) la que en teoría podría ayudar a evitar la ejecución de rutinas en aplicaciones IoT compatibles.
Por su parte, Acronis (9), una empresa conocida por sus sistemas de backups, basa su estrategia en el paradigma de listas blancas y negras de operaciones que podríamos considerar peligrosas (conjunto de peticiones que se alejen del uso habitual que tendría el sistema y/o el usuario que lo utiliza), aplicando sistemas de aprendizaje continuo para aprender de nuevas amenazas. A fin de cuentas, heurística más tipologías de ataque ya conocidas dentro de una herramienta que ya de base tiene control sobre el sistema de archivos, pudiendo ser capaz de recuperar versiones antiguas y mantener el dispositivo en funcionamiento.
Son dos acercamientos distintos, recalco, a lo que bajo mi juicio podrían ser salidas aceptables al problema del RoT.
Por parte del usuario, minimizar el vector de exposición de estos dispositivos es algo necesario. Lo que pasa por cambiar la configuración con la que vienen por defecto, y tener una alternativa en caso de que por el motivo que sea el dispositivo deje de funcionar.
Actualmente el IoT dibuja un escenario de muy pocas garantías, por lo que mi recomendación final sería que hiciéramos uso de estos dispositivos de forma comedida, en espera de que la industria se ponga las pilas, y a sabiendas de los riesgos que conllevaría un secuestro de este tipo de dispositivos.
Referencias
- Inside the cunning, unprecedented hack of Ukraine’s power grid (Wired).
- DDoS attack halts heating inf Finland amidst winter (Metropolitan.fi)
- Hackers held San Francisco’s transit system hostage over Thanksgiving weekend (Dailydot)
- Hackers make the first-ever ransomware for smart thermostats (Motherboard).
- U.S. Hospitals face growing ransomware threat (Fortune).
- Ransomware poses potential threat to oil, gas cybersecurity (rigzone).
- Trends 2017: security held ransomware (ESET/PDF).
- Latch ARW: Una nueva herramienta contra el ransomware (ElLadoDelMal).
- Acronis Active Protection White Paper (Acronis/PDF).
Para realizar comentarios sobre este estudio, por favor, diríjase a la página habilitada para tal fin ¡Muchas gracias!
________
¿Quieres conocer cuáles son mis dispositivos de trabajo y juego preferidos?
Revisa mi setup de trabajo, viaje y juego (ES).
Y si te gustaría ver más de estos análisis por aquí. Si el contenido que realizo te sirve en tu día a día, piénsate si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.