- Abril de 2016: Shadow Brokers filtra la vulnerabilidad de Windows que será explotada por WannaCry. - Mayo de 2017: WannaCry se propaga a nivel mundial. - Mayo de 2017:Windows lanza parches para la vulnerabilidad SMB. - Mayo de 2017:Adrien Guinet descubre cómo recuperar la clave RSA. - Mayo de 2017:Finaliza la propagación de WannaCry. - Mayo de 2017: Se estiman miles de millones en daños y pérdidas de datos. 2. Análisis detallado de causa y efecto - Causa: Vulnerabilidad de Windows filtrada por Shadow Brokers. - Efecto:Propagación global de WannaCry y miles de millones en daños. 3. Lecciones aprendidas catalogadas 1. Mantener sistemas actualizados con parches de seguridad. 2. Realizar análisis forenses digitales para rastrear ataques. 3. Tener estrategias de respuesta a incidentes preparadas. 4. Controles de Ciberseguridad - Actualización constante de sistemas. - Seguir las mejores prácticas de seguridad. - Implementar firewalls y sistemas de detección de intrusiones. 5. Estrategias Cibercriminales - Explotación de vulnerabilidades conocidas. - Uso de malware que se propaga como gusano. - Extorsión mediante ransomware. 6. Determine las TTPs - Uso de EternalBlue y DoublePulsar. - Uso de cifrado RSA y AES para ocultar archivos. - Extorsión de víctimas mediante notas de rescate. 7. Enfoques Ofensivos y Defensivos de la Ciberseguridad - Ofensivo: Explotar vulnerabilidades, utilizar gusanos para propagar malware. - Defensivo: Parches de seguridad, sistemas de detección y respuesta a incidentes. 8. Protocolos de Red - Uso de SMB (Server Message Block) para explotar la vulnerabilidad. - Conexiones a dominios aleatorios como parte de la estrategia de cifrado.
Discusión y Análisis Taller de Ciberseguridad Caso de Estudio 5: WannaCry
1. Cuales fueron las vulnerabilidades que dieron origen a la materialización del
ransomware. Vulnerabilidades: Las vulnerabilidades clave fueron la falta de actualización en sistemas Windows, la filtración de la vulnerabilidad por Shadow Brokers y la falta de parches de seguridad. 2. Quedando el dispositivo comprometido por el ransomware cuales serian las acciones que usted ejecutaría, explique y justifique el por qué a este planteamiento. Acciones en caso de compromiso: Desconectar el dispositivo infectado de la red, notificar a los equipos de respuesta a incidentes, intentar recuperar la clave RSA si es posible, y no pagar el rescate, ya que no garantiza la recuperación de archivos. 3. Plantee los argumentos necesarios que ayuden al CEO de la organización a tomar una acción, ante la paralización de las operaciones de la organización Argumentos al CEO: Se debe resaltar el impacto financiero de las pérdidas de datos y la paralización de operaciones, la importancia de invertir en ciberseguridad y la necesidad de tener un plan de respuesta a incidentes efectivo.. 4. Cuales informaciones y por que serian necesarias para realizar un análisis forense digital. Información para análisis forense:Se necesitarían registros de red, registros de actividad de sistemas, registros de acceso y copias de los archivos cifrados y notas de rescate para realizar un análisis forense. 5. Cuál fue el rol del área de Tecnología de la Información, desde la postura de Infraestructura TI Rol de TI: TI debe asegurarse de que todos los sistemas estén actualizados, implementar medidas de seguridad como firewalls y sistemas de detección, y colaborar en la recuperación de datos. 6. Que elementos utilizo el cibercriminal antes de ejecutar su estrategia para dar origen al ataque y por que. Elementos utilizados por el cibercriminal: Explotación de vulnerabilidades, uso de malware que se propaga como gusano, extorsión de víctimas y uso de cifrado para ocultar archivos. 7. Explique y de análisis a detalles que impacto podría tener en la organización el caso desde aspectos financieros, reputaciones y de riesgos tecnológicos. Impacto en la organización: Desde un aspecto financiero, habría pérdida de productividad y costos para recuperar sistemas. Desde el punto de vista de la reputación, la confianza de los clientes podría verse afectada. En cuanto a riesgos tecnológicos, se evidencia la importancia de la ciberseguridad y la necesidad de proteger los activos digitales de la organización.