NoMoreCry, la vacuna del CERT ante los ciberataques
Se han redoblado los esfuerzos para detectar y detener el código dañino, analizarlo y aplicar medidas que mitiguen el impacto en el sector público y empresas de interés estratégico para el país.
A primeras horas del 12 de mayo comenzaban a llegar al CNN-CERT (Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional) los primeros incidentes del ransomware WannaCry. De forma inmediata, el equipo de expertos de esta organización inició la tarea de contención, prevención y erradicación con el fin de mantener protegido el ciberespacio español.
Así, en menos de 24 horas, el 14 de mayo, se contaba ya con una herramienta que impedía la ejecución del ransomware: CCN-CERT NoMoreCry, una aplicación desarrollada por el CERT Gubernamental Nacional y puesta a disposición de todas las entidades que así lo requieran y que continúa actualizándose en estos momentos. Esta vacuna se ha podido llevar a cabo gracias al gran trabajo que hicieron los profesionales para conocer más información sobre el modo de proceder de este código dañino, sus características técnicas, la forma de cifrar y ocultar la información, su persistencia en el sistema, el modo de detenerlo y cómo desinfectarlo.
Del mismo modo, el CCN-CERT ha publicado un Informe de Código Dañino (CCN-CERT ID 17-17 Ransom.WannaCry), en permanente actualización, que recoge todas las novedades que sus investigadores van recopilando. El informe pretende facilitar a todos los responsables de seguridad de una organización las principales pautas de actuación frente a este ciberataque.
Entre las medidas recomendadas en el informe se encuentan las siguientes: actualizar los equipos y sistemas con los últimos parches de seguridad publicados por el fabricante, realizar copias de seguridad de los ficheros de forma periódica, ejecutar la herramienta del CCN-CERT ‘NoMoreCry’ en sus sistemas, no pagar el rescate ya que efectuar el pago no garantiza que los atacantes envíen la utilidad y/o contraseña de descifrado, y conservar los ficheros que hubieran sido cifrados por la muestra de ransomware antes de desinfectar la máquina ya que no es descartable que en un futuro apareciera una herramienta que permitiera descifrar los documentos que se hubieran visto afectados.
Gartner también se implica
Según las autoridades europeas, este suceso ha afectado a más de 10.000 organizaciones y 200.000 personas en más de 150 países. Aunque se han tomado medidas para frenar la propagación de este malware, van surgiendo continuas variaciones en el área. Jonathan Care, director de Investigación de Gartner, describe los pasos que los profesionales de la ciberseguridad deben tomar inmediatamente.
En primer lugar, centrarse en las causas fundamentales de los ataques en vez de intentar buscar un culpable. En segundo lugar, aislar todos los sistemas ya que habrá algunos que, aunque no hayan sido afectados todavía por el malware, siguen siendo vulnerables. Y, en tercer lugar, mantenerse vigilante. Hay que asegurarse de que los sistemas de detección de intrusos estén operando y examinando el tráfico, que el personal técnico esté enfocado en resolver asuntos claves y que alguien específico se encargue de responder preguntas externas.
