¿Cómo se convirtió una falla de no proliferación en los Estados Unidos en una amenaza de seguridad cibernética global?

Analisis inicial:

El ransomware WannaCry recibido y analizado por US-CERT es un cargador que contiene una DLL cifrada con AES. Durante el tiempo de ejecución, el cargador escribe un archivo en el disco llamado “t.wry”. El malware luego utiliza una clave incrustada de 128 bits para descifrar este archivo. Esta DLL, que luego se carga en el proceso padre, es el verdadero Wanna Cry Ransomware responsable de encriptar los archivos del usuario. Usando este método de carga criptográfica, la DLL de WannaCry nunca se expone directamente en el disco y no es vulnerable a los análisis de software antivirus.

La nueva DLL cargada inmediatamente comienza a encriptar archivos en el sistema de la víctima y encripta los archivos del usuario con AES de 128 bits. Se genera una clave aleatoria para el cifrado de cada archivo.

El malware también intenta acceder a los recursos compartidos de IPC $ y los recursos SMB a los que tiene acceso el sistema víctima. Este acceso permite que el malware se propague lateralmente en una red comprometida. Sin embargo, el malware nunca intenta obtener una contraseña de la cuenta de la víctima para acceder al recurso compartido IPC $.

Este malware está diseñado para propagarse lateralmente en una red al obtener acceso no autorizado al recurso compartido IPC $ en recursos de red en la red en la que está operando.

Impacto

El ransomware no solo se dirige a usuarios domésticos; las empresas también pueden infectarse con ransomware, lo que puede tener consecuencias negativas, que incluyen

• pérdida temporal o permanente de información confidencial o de propiedad,

• interrupción de las operaciones regulares,

• pérdidas financieras incurridas para restaurar sistemas y archivos, y

• daño potencial a la reputación de una organización.

Pagar el rescate no garantiza que se liberarán los archivos cifrados; solo garantiza que los actores maliciosos reciban el dinero de la víctima y, en algunos casos, su información bancaria. Además, descifrar archivos no significa que se haya eliminado la infección de malware en sí.

Solución

Pasos recomendados para la prevención

• Aplique el parche de Microsoft para la vulnerabilidad MS17-010 SMB del 14 de marzo de 2017.

• Habilite filtros de spam fuertes para evitar que los correos electrónicos de phishing lleguen a los usuarios finales y autentique el correo electrónico entrante utilizando tecnologías como Sender Policy Framework (SPF), Informe de autenticación y conformidad de mensajes de dominio (DMARC), y Correo identificado de DomainKeys (DKIM) ) para evitar la falsificación de correo electrónico.

• Escanee todos los correos electrónicos entrantes y salientes para detectar amenazas y filtrar los archivos ejecutables para que no lleguen a los usuarios finales.

• Asegúrese de que las soluciones antivirus y antimalware estén configuradas para realizar exploraciones periódicas automáticamente.

• Administrar el uso de cuentas privilegiadas. Implemente el principio del menor privilegio. Ningún usuario debe tener acceso administrativo a menos que sea absolutamente necesario. Aquellos que necesiten cuentas de administrador solo deben usarlas cuando sea necesario.

• Configure los controles de acceso, incluidos los permisos de archivos, directorios y recursos compartidos de red con el mínimo privilegio en mente. Si un usuario solo necesita leer archivos específicos, no debe tener acceso de escritura a esos archivos, directorios o recursos compartidos.

• Deshabilite los scripts macro de los archivos de Microsoft Office transmitidos por correo electrónico. Considere usar el software Office Viewer para abrir archivos de Microsoft Office transmitidos por correo electrónico en lugar de las aplicaciones completas de Office.

• Desarrollar, instituir y practicar programas de educación para empleados para identificar estafas, enlaces maliciosos e intentos de ingeniería social.

• Realice pruebas de penetración periódicas contra la red. No menos de una vez al año. Idealmente, tan a menudo como sea posible / práctico.

• Pruebe sus copias de seguridad para asegurarse de que funcionen correctamente con el uso.

Pasos recomendados para la remediación

• Contactar a la policía. Le recomendamos encarecidamente que se comunique con una oficina local del FBI sobre el descubrimiento para informar una intrusión y solicitar asistencia. Mantener y proporcionar registros relevantes.

• Implemente su respuesta a incidentes de seguridad y su plan de continuidad comercial. Idealmente, las organizaciones deberían asegurarse de tener copias de seguridad apropiadas para que su respuesta sea simplemente restaurar los datos de una copia de seguridad limpia conocida.

Defensa contra ransomware en general

Las medidas de precaución para mitigar las amenazas de ransomware incluyen:

• Asegúrese de que el software antivirus esté actualizado.

• Implemente un plan de respaldo y recuperación de datos para mantener copias de datos confidenciales o de propiedad en un lugar separado y seguro. Las copias de seguridad de datos confidenciales no deben ser fácilmente accesibles desde las redes locales.

• Examine los enlaces contenidos en correos electrónicos y no abra archivos adjuntos incluidos en correos electrónicos no solicitados.

• Solo descargue software, especialmente software gratuito, de sitios que conoce y en los que confía.

• Habilite parches automatizados para su sistema operativo y navegador web.

También puede leer: https://lnkd.in/fdezWCH

Related Content

¿Cómo puedo convertirme en un especialista en seguridad cibernética en la India?

¿Por qué la gente todavía usa Hackforums para operaciones ilegales a pesar de que es tan anti-privacidad?

¿Qué medidas de seguridad debo tomar después de ser pirateado?

Nunca usé Linux, y quiero comenzar a aprender sobre piratería y seguridad. ¿Debo instalar Kali Linux?

¿Qué pasos puede tomar un estudiante de maestría para solicitar un trabajo de seguridad?

Aunque el devastador ataque del ransomware WannaCry fue un fracaso por parte de la NSA, las actuales normas cibernéticas de la ONU son demasiado débiles para responsabilizar a cualquier actor internacional, y mucho menos a los EE. UU.

  • ATAQUE CIBERNETICO
  • QUIERO LLORAR

Imagine este escenario: un grupo terrorista captura un arma nuclear desarrollada por Pakistán con un propósito limitado y un destino predeterminado. Ni Islamabad ni otras potencias en la región son capaces de medir la intención de este grupo o predecir dónde se desplegará el arma ‘táctica’. Los líderes de las naciones del G7, agitados por el desarrollo, emiten una fuerte declaración condenando a Pakistán por su laxa seguridad nuclear y reiteran su llamado a todos los países a firmar el Tratado de No Proliferación Nuclear. Pakistán está sujeto a sanciones que reducen, entre otras cosas, su capacidad de comerciar con tecnologías críticas.

Si tal escenario se materializara, es probable que el ‘proliferador’ en cuestión sea nombrado y avergonzado. La comunidad internacional debería preguntarse, entonces, por qué el mismo G7 emitió una declaración tibia sobre la “creciente amenaza de incidentes cibernéticos” a raíz de la destrucción por un arma creada en los Estados Unidos.

En su quinto día, “WannaCry”, un ransomware que aprovecha un día cero desarrollado por la Agencia de Seguridad Nacional de EE. UU. (NSA) y se filtró en la naturaleza por un grupo que se hace llamar Shadow Brokers, se ha paralizado “misión crítica” sistemas en todo el mundo. Se ha ralentizado o detenido por completo el funcionamiento de los sistemas de tráfico en Xi’an (China), las estaciones de servicio de combustible administradas por la Corporación Nacional de Petróleo de China, los servicios de salud de emergencia de los Servicios Nacionales de Salud del Reino Unido y las operaciones del departamento de electricidad del estado en Bengala Occidental . Lejos de ser una pandemia sin orígenes conocidos, los efectos de WannaCry son directamente atribuibles al fracaso del gobierno de los Estados Unidos para evitar la proliferación de instrumentos cibernéticos maliciosos. Es posible que sus acciones infrinjan varias normas y obligaciones internacionales de no proliferación.

La mayoría de los regímenes de no proliferación, como el Tratado de No Proliferación o el Acuerdo de Wassenaar sobre bienes y tecnologías de doble uso, se elaboraron en un momento en que los estados eran los únicos custodios de las armas de destrucción masiva (ADM) y los equipos y tecnologías necesarios para su diseño. y montaje. Como resultado, se centraron en la transferencia deliberada de tecnologías sensibles o municiones letales entre gobiernos. Hoy en día, el riesgo de que los actores no estatales tengan en sus manos un arma nuclear o biológica se ha multiplicado: reconociendo esta amenaza, el Consejo de Seguridad de la ONU promulgó en 2004 la Resolución 1540 que instó a los estados a tomar “medidas efectivas para establecer controles internos para prevenir la proliferación de armas nucleares, químicas o biológicas “.

La UNSCR 1540 fue una admisión sincera por parte de los estados de que las buenas intenciones para prevenir la proliferación de armas de destrucción masiva por sí solas no eran suficientes y debían complementarse con una obligación vinculante y positiva de evitar su adquisición por parte de actores no estatales. Al anunciar la Iniciativa de Seguridad de la Proliferación, la administración Bush en 2004 fue un paso más allá, reuniendo una coalición de países para interceptar buques sospechosos de transportar materiales a actores no estatales en “áreas más allá de los mares territoriales” de terceros. Posteriormente, los estados miembros de Wassenaar también han expresado su apoyo para expandir el ámbito del acuerdo para incluir actores no estatales.

La amenaza de que las ADM caigan en manos de actores no estatales también ha resultado en una expansión significativa de los poderes de supervisión y supervisión de organizaciones como la Agencia Internacional de Energía Atómica. Sin embargo, no existe un régimen o mecanismo de supervisión para controlar la proliferación de herramientas maliciosas en el ciberespacio, un escenario donde su amenaza es más grave. Por supuesto, los EE. UU. Aún podrían fallar de las regulaciones limitadas que existen actualmente. En 2015, la ONU adoptó por consenso las recomendaciones de un grupo de expertos gubernamentales sobre “normas cibernéticas” contra las amenazas a la paz y la seguridad internacionales. Al permitir la filtración de un exploit de día cero que llegó al programa WannaCry, Estados Unidos viola las normas para:

  1. Prevenir “la proliferación de herramientas y técnicas TIC maliciosas y el uso de funciones ocultas nocivas”; y
  2. Comparta “información sobre las soluciones disponibles a las vulnerabilidades de las TIC para limitar y posiblemente eliminar las posibles amenazas a las TIC y la infraestructura dependiente de las TIC”

Sin embargo, las actuales normas cibernéticas de la ONU son demasiado débiles para responsabilizar a cualquier actor internacional, y mucho menos a Estados Unidos, por un ataque devastador como el actual. Los estados solo tienen prohibido realizar o apoyar “a sabiendas” actividades de TIC “contrarias a sus obligaciones en virtud del derecho internacional” que dañan la infraestructura crítica. Dado que el ataque WannaCry no fue perpetrado por los EE. UU. Y el hecho de que la NSA es una agencia de inteligencia (el espionaje no está prohibido por el derecho internacional), esta norma es insuficiente para buscar la responsabilidad de Washington.

Nada de esto es para afirmar que EE. UU. Es el único actor que desarrolla herramientas maliciosas de las TIC o “armamento” del ciberespacio. El asunto “WannaCry” no impedirá que los países desarrollen software de vigilancia ni explote las vulnerabilidades de día cero en las principales plataformas digitales. Pero Estados Unidos es el único responsable de filtrar el progreso reciente de la creación de normas y leyes internacionales en el ciberespacio. En la reunión de ministros de finanzas del G20 en marzo, Estados Unidos se opuso y vetó con éxito una norma para prohibir ataques cibernéticos maliciosos contra instrumentos financieros.

Hay un apetito entre varios miembros del Grupo de Expertos Gubernamentales de la ONU para explorar la formación de un grupo de trabajo intergubernamental que pueda llevar adelante las recomendaciones del grupo y “elevarlas” a algo más fuerte que las normas. El Acuerdo de Wassenaar, que restringe la transferencia de “software de intrusión” a los no miembros, no es la plataforma adecuada para promulgar regulaciones de control de exportaciones sobre este tema dado que las principales economías digitales como India, China y los EAU están excluidas del grupo. Lamentablemente, Estados Unidos continúa oponiéndose a la creación de un instrumento legal vinculante para controlar el uso de la fuerza en el ciberespacio.

Tal instrumento no desanimará a los gobiernos de acumular días cero como ETERNALBLUE, que explotó el programa WannaCry. Pero un régimen legal claro y predecible obligará a los gobiernos a agilizar el proceso de adquisición y divulgación de vulnerabilidades, aumentar los costos de despliegue de días cero sin supervisión política y desencadenar acuerdos de intercambio de información y asistencia para mitigar el daño causado por las fugas. Las normas estrictas sobre responsabilidad estatal también disuadirán a los gobiernos de desplegar libremente agentes no estatales para ataques cibernéticos disruptivos. Sin un instrumento legal multilateral, las economías emergentes continuarán financiando los costos de los grandes ataques cibernéticos como el asunto WannaCry, sin ningún recurso legal o político para fortalecer sus ecosistemas digitales.

La paciencia se está agotando en Nueva Delhi y otras capitales con el mundo sufriendo un ataque cibernético debilitante tras otro, incluso mientras el gobierno de los Estados Unidos continúa explotando las vulnerabilidades de su propio sector privado, agotando la confianza de los consumidores y los mercados en ellos. India debería ejercer presión a nivel bilateral con el gobierno de Estados Unidos para iniciar las negociaciones sobre un tratado sobre el ciberespacio. Nueva Delhi no tendría escasez de palancas estratégicas para llevar tanto al gobierno de los EE. UU. Como al sector privado a la mesa: podría hacer cumplir una prohibición comercial de productos digitales de los EE. UU., Citando el Artículo XXI del Acuerdo General sobre Aranceles Aduaneros y Comercio; el gobierno indio podría negarse a adquirir software basado en los EE. UU. para servicios públicos a menos que los sistemas heredados sean “parcheados” por sus compañías; y, por último, podría indicar que el compromiso político con la gobernanza de internet de “múltiples partes interesadas” está en riesgo si Estados Unidos no aborda sus preocupaciones centrales de seguridad. Nueva Delhi debe ser valiente al colocar todas estas opciones de política sobre la mesa.

Este comentario apareció originalmente en The Wire .

  • CIBER Y MEDIOS
  • SEGURIDAD CIBERNÉTICA Y GOBERNANZA DE INTERNET
  • COMENTARIOS
  • LA SEGURIDAD CIBERNÉTICA
  • CIBER Y TECNOLOGÍA

Las opiniones expresadas anteriormente pertenecen a los autores.

Rakesh Khuntia

Puedes una respuesta concisa aquí:

Wise Welkin

Abhimanyu Singh

More Interesting

¿Qué pasos debo seguir para proteger mi computadora portátil de los hackers?

Cómo eliminar una contraseña de un archivo Excel 2013 (.xslx)

¿Qué pasos deben tomar las personas si sus máquinas están infectadas con ransomware?

Después de un BSc (IT), ¿qué cursos / fuentes recomendaría para convertirse en un maestro en ciberseguridad?

¿Qué es el cifrado de seguridad de la base de datos?

¿Cómo piratean los hackers?

Si las máquinas de votación electrónicas pueden ser pirateadas, manipulando los resultados electorales, ¿probará la afirmación de Donald Trump de una elección fraudulenta?

Cómo obtener un código ejecutable en Java para un sistema de detección de intrusos

¿Cuáles son algunos de los riesgos de seguridad de usar los servicios de ubicación en Android?

¿Dejar su correo electrónico conectado lo hace vulnerable a la piratería?

¿Cómo te preparas para una carrera profesional que conduce a la ciberseguridad? ¿Dónde aprende los aspectos ofensivos y defensivos de la ciberseguridad? ¿Cómo es el pago?

¿Cuáles son las últimas estadísticas del mercado indio de seguridad cibernética?

Dado que la seguridad informática es un problema tan grande, ¿por qué Microsoft no crea una versión para el consumidor de Windows que use contenedores o máquinas virtuales? ¿No ayudaría, y no es posible o práctico?

¿Cuál es el mejor lenguaje de programación para hackear?

¿Cómo las aplicaciones de contraseña mantienen sus datos protegidos contra piratería cuando otras compañías no pueden hacerlo?