El dia viernes fue un dia mas que movido por lo sucedido en más de 70 países, los cuales fueron afectados por un Malware llamado WannaCry. La principal empresa afecta fue Telefónica España; donde se dio a conocer la infección desde los mismos empleados quienes reportaron lo sucedido.

MAPA EN VIVO DE LA INFECCION DE WANNACRY EN EL MUNDO.

Ya hemos hablado ayer de lo potencialmente peligroso que puede ser un Ransomware; con lo cual no vamos a entrar en el mismo tema. Al final del post tienen todos los enlaces para poder acceder a toda la información correspondiente.

Ahora ante el problema consumado y desperdigado a lo largo de todo el mundo; en donde ninguna empresa, oficina y cliente hogareño que utilice alguna versión de Windows; puede estar exento de la infección.

El problema radica en que el malware no fue interceptado por ninguna suite de seguridad de ningún proveedor; y con esto estan todas las empresas más que descubiertas ante este problema. Obviamente las compañías que tienen un cuerpo completo de seguridad Informática deberían haber tenido las defensas mucho más altas que una pequeña empresa.

Ahora el problema radica en que el malware se está expandiendo, y un agravante que nadie está teniendo en cuenta es que se dio un día viernes. Donde los fines de semana por lo general la guardia de las empresas de TI bajan mucho. El problema puede que mañana lunes, empiecen muchos usuarios de Windows a recibir el fatídico cartel rojo; y de esta manera tener toda la información secuestrada.

¿Hay que pagar?
Como toda extorsión no es bueno realizar el pago ya que nadie nos asegura que no volverán a realizarlo nuevamente.

¿Cómo actuamos si vemos la pantalla?
De forma automática apagar el equipo desconectarlo de la red y hablar con el personal de informática para solucionarlo?.

¿Y si no recibimos el malware?
De forma automática cada equipo que trabaje en red con Internet; debería realizar un backup manual de toda su información.

¿Quien llevó adelante la infección?
Esta es la primer pregunta que se nos viene a la cabeza; y la respuesta es simple. Una persona imposible, un grupo muy difícil; todo indica que luego de las filtraciones del 7 de marzo de Wikileaks; esto trae un tinte muy organizado.
Para ir cerrando; cuando desde Infosertec y desde Radiogeek; hablábamos que el 7 de marzo de 2017 la Internet como conocíamos cambio; nadie nos prestó atención. Los medios hablaron como si fuera un tema para “Doña Rosa” (al menos en Argentina). No se extremaron las medidas necesarias en las grandes compañías para que esto no suceda; caso puntal informado Telefónica. Y por consiguiente la propagación es más grande. Otro punto importante a tener en cuenta es que por lo general las cuando una empresa tiene un ataque de ransomware no lo informa; ya que el mismo no es bueno para la imagen de la compañía. Y sabemos que desde el 2015 se viene teniendo noticias referidas a este tipo de secuestro de información.

Y como último tema, para nada hay que esbozar la culpa a Wikileaks; ya que ellos solamente informaron de los sistemas de control/espía/malware que estaba desarrollando la CIA en Estados Unidos.

Esperemos la tormenta pase, y los responsables de la seguridad de las empresas tomen conciencia de los problemas que hay; y los que vendrán. A no dormirse en los laureles y estar siempre informados…
– Mayo de 2016 – Ransonware, Kaspersky Lab detecta un aumento del 14%
– Mayo de 2017 – Avast habla del ransomware que infectó sistemas de Telefónica y de hospitales británicos
Declaraciones de Kaspersky Lab acerca del ataque WannaCry

Una descripción detallada del método de ataque de WannaCry y los Indicadores de Compromiso se pueden encontrar en Securelist