ESC

Escribe para buscar entre todos los artículos

Volver al archivo
· 2 min de lectura

Difundir o no Difundir... He ahí el dilema

Reflexión sobre la importancia de compartir indicadores de compromiso y coordinar respuestas ante ciberataques entre organizaciones.

Quiero iniciar con una historia que se repite:

Gusano Morris (02/11/1988)

Atacó a 6.000 de las 60.000 computadoras conectadas a ARPANET, de las cuales muchas permanecieron infectadas durante casi 72 horas. Descargó archivos inusuales en los directorios de algunas máquinas y los sistemas comenzaron a funcionar cada vez más lento.

Se basó en explotar 3 vulnerabilidades:

  • Rsh / rexec: passwords poco seguras y relaciones de confianza.
  • Sendmail: backdoor que permitía ejecutar comandos.
  • Fingerd: buffer overflow.

Los expertos de la Universidad de California en Berkeley y del Instituto de Tecnología de Massachusetts actuaron rápidamente para capturar el gusano, analizar el programa y encontrar una solución. A la mañana siguiente, cuando aún no habían pasado 12 horas tras el descubrimiento del gusano, el equipo Computer Systems Research Group de Berkeley ya había desarrollado una serie de pasos para detener su propagación.

El 8 de noviembre, el equipo de reacción ante emergencias informáticas del CERT Coordination Center (CERT/CC) envió un mensaje a la lista de correo “Phage” (que incluía a todos los administradores regionales de internet) para ayudar a resolver la crisis causada por el gusano.

Respuesta entonces y ahora

Morris: 4 días de impacto real Respuesta: difundieron y coordinaron la forma de pararlo compartiendo IoC. Resultado: Lo frenaron rápido.

WannaCry (12/05/2017)

Se propagó a través de la vulnerabilidad EternalBlue (MS17-010).

  • Primer caso detectable: 12/05/2017 7:44 AM UTC
  • Telefónica y NHS UK afectadas casi simultáneamente
  • En pocas horas: 150+ países
  • 200,000+ sistemas infectados
  • Costo estimado: $4B+ USD

Fases de propagación: 1. Escaneo de SMB (445) 2. Explotación de EternalBlue 3. Ejecución del payload 4. Cifrado de archivos 5. Propagación lateral

Respuesta entonces y ahora

WannaCry: A las pocas horas Marcus Hutchins descubrió que el malware hacía una consulta a un dominio para verificar si estaba activo. Si no estaba registrado, el malware se detenía. Marcus registró ese dominio y funcionó como un “kill switch” global, deteniendo la propagación del gusano.

La secuencia fue:

  1. “Check-in” del malware a dominio no registrado.
  2. Marcus registró el dominio con el alias @MalwareTech.
  3. Al estar activo el dominio, el malware abortó su ejecución.
  4. Esto frenó significativamente la propagación global.

Respuesta: difundieron y coordinaron la forma de pararlo.

¿Historia repetida? (04/11/2019)

Varias empresas españolas han sufrido hoy un serio ataque de ransomware que recuerda al vivido a mediados de 2017 con WannaCry (o si volvemos más en el tiempo, a Morris). Los primeros ataques confirmados de forma oficial los han sufrido la Cadena SER y otras emisoras de Prisa Radio, pero también varias consultoras tecnológicas.

¿Cuáles son los IoC? ¿Investigación compartida?

Conclusión

Entonces, como diría Shakespeare en los tiempos actuales: “Difundir o no difundir… He ahí el dilema”.

Ahora, los invito a compartir y difundir… ¿Dónde hacerlo?

  • Nomoreransom
  • maltiverse.com
  • CSIRT/CERT Nacionales
  • OEA
  • INCIBE
  • CCN-CERT

No esperemos un próximo evento de seguridad para darnos cuenta de lo obvio… hay que COMPARTIR

Autor: Fernando Moyano

SV
Autor

Sebastián Vargas

CISO & Fundador de TTPSEC SpA. Más de 15 años en ciberseguridad, governance, riesgo y compliance. Escribiendo sobre seguridad de la información desde 2018.

LinkedIn Medium

¿Te sirve el contenido?

Recomendarme en LinkedIn
Volver al archivo