Siguiendo la escalada de eventos ocurridos después del viernes 12 de mayo de 2017 cuando una variante del ransomware “WannaCry” inicio una escalada de infección a nivel mundial afectando a miles de equipos con sistemas operativos Microsoft Windows, el impacto mediático de esta noticia ha hecho reflexionar a muchos usuarios respecto a los niveles de seguridad provistos por los controles que tienen implementados en sus propios ordenadores y redes de datos, así como la gestión de los mismos.

Lamentablemente, este incidente fue la crónica de una muerte anunciada: Microsoft ya había notificado la vulnerabilidad en el protocolo SMBv1 que más tarde fue aprovechada por el malware, la actualización (MS17-010, catalogada como CRÍTICA) se encontraba disponible desde dias antes (14 de marzo de 2017) y se conocía de la potencial amenaza debida a la existencia de exploits y herramientas que podían ser empleadas para aprovecharse de dicha vulnerabilidad pertenecientes a la exfiltración del arsenal de exploits de la NSA, publicados el 14 de abril de 2017 por el grupo The Shadow Brokers (TSB). A continuación puede verse la línea de tiempo de este ataque, en donde se puede observar el umbral entre la publicación de la actualización y la masificación de la infección por el malware (fuente: ENISA):

PCI DSS v3.2 vs. Ramsonware

Adelantándose a los hechos descritos anteriormente, el PCI SSC publico el 24 de enero de 2017 el documento “Defending Against Ransomware – A Resource Guide from the PCI Security Standards Council“, el cual acompañó de una entrada en su blog oficial y una notificación en su boletín de noticias “PCI Monitor” de febrero de 2017.

Estos documentos detallan los controles del estándar de PCI DSS que pueden ser empleados para minimizar el impacto de una infección con ransomware y establece una serie de buenas prácticas para identificar, contener y recuperarse de los daños causados por este malware. No obstante, es importante tener en cuenta que estas variantes de ransomware no afectan directamente a los datos de tarjeta de pago (no están orientados a la recolección y exfiltración de este tipo de datos como sí lo hace el malware basado en RAM scraping) y pueden afectar la disponibilidad de las plataformas informáticas, lo cual no es relevante para el cumplimiento de PCI DSS, lo cual reafirma que la implementación de los controles de PCI DSS va más allá de la simple protección de datos de tarjeta y puede ser extrapolado como marco de seguridad general en la organización dentro del concepto de GRC (Governance, Risk Management, and Compliance).

Los controles de PCI DSS directamente relacionados con la gestión de infecciónes con ransomware son los siguientes:

Controles preventivos:

  • Requerimiento 1.2 – Restringir el tráfico entrante y saliente al explícitamente requerido: El estándar PCI DSS requiere que se restrinja el tráfico entrante y saliente únicamente al explícitamente requerido. En el caso del ransomware “WannaCry”, la infección de dispositivos vulnerables se presentó debido a la publicación no controlada del puerto 445 (SMB). Una gran cantidad de equipos tenían expuesto este puerto directamente en internet, lo cual permitió su infección en poco tiempo.
  • Requerimientos 2.2.x – Configuración segura de plataformas: En un entorno PCI DSS es indispensable que las plataformas se encuentren correctamente configuradas, no tengan valores por defecto y tengan únicamente servicios, protocolos y daemons que sean requeridos para el funcionamiento del sistema. Aquella funcionalidad innecesaria y/o insegura debe ser removida. “WannaCry” aprovechaba una vunerabilidad de SMBv1, funcionalidad no requerida en la gran mayoría de redes y considerada insegura desde hacía mucho tiempo. En PCI DSS, este protocolo debería haber estado deshabilitado.
  • Requerimiento 6.1 – Identificación y clasificación de vulnerabilidades: PCI DSS especifica la necesidad de identificar vulnerabilidades a través de fuentes confiables y categorizarlas con base a su criticidad para proceder con la ejecución de acciones correctivas (actualizaciones y/o cambios de configuración). En el caso de “WannaCry”, Microsoft informó acerca de la vulnerabilidad en su boletín MS17-010 de marzo 14 de 2017.
  • Requerimientos 9.5.1 y 12.10.1 – Copias de seguridad (backup): El estándar PCI DSS requiere una serie de controles específicos sobre los medios en los que se encuentran las copias de seguridad (backup) y procesos específicos para planes de continuidad de negocio y recuperación de desastres, así como procedimientos de backup y restauración. Siguiendo con el escenario de infección de “WannaCry”, los archivos encriptados y por los cuales se solicita una recompensa (extorsión) podrían ser recuperados de una fuente confiable como un backup reciente, conforme lo especifica PCI DSS.
  • Requerimientos 11.2 y 11.3 – Ejecución de análisis de vulnerabilidades y pruebas de penetración: Mediante la ejecución de pruebas de seguridad en los sistemas se puede detectar de forma temprana la existencia de una vulnerabilidad e iniciar las acciones correctivas antes que sea explotado por personal malintencionado, como fue el caso de la vulnerabilidad reportada de SMBv1 en sistemas Microsoft Windows.
  • Requerimiento 12.6 – Formación al personal: Con la implementación periódica de los planes de formación y concienciación en seguridad se puede gestionar el riesgo causado por fallos humanos en la manipulación de correos electrónicos y/o URL con contenido malicioso, minimizando el vector de entrada principal del ransomware.

Controles detectivos:

  • Requerimiento 5.x – Antimalware: En PCI DSS es necesario que las plataformas susceptibles a infecciones por malware cuenten con una solución antivirus actualizada y en ejecución. A pesar que la infección con “WannaCry” no fue detectada inicialmente por la gran mayoría de antivirus del mercado, en cuanto la masificación del ransomware empezó a ser evidente los fabricantes de estas soluciones ofrecieron actualizaciones de emergencia para detectar y controlar el problema.
  • Requerimientos 11.4 y 11.5 – Monitorización de cambios y detección/prevención de intrusiones: PCI DSS requiere que exista una monitorización constante de acciones sospechosas, tanto a nivel de integridad de ficheros como en patrones de tráfico. En el caso de ramsomware “WannaCry”, los procesos de encriptación de ficheros implican modificación de integridad, lo cual haría saltar las alertas de una solución de FIM, al igual que el comportamiento anómalo en el tráfico de red hacia el puerto 445 (SMB) permitiría la identificación de comportamientos sospechosos a nivel de red.
  • Requerimiento 12.10.5 – Monitorización de alertas y respuesta a incidentes: PCI DSS requiere la monitorización 7×24 de las alertas provenientes de sistemas de monitorización (IDS/IPS, FIM, firewalls, etc.). La detección temprana de comportamientos anómalos por parte del personal de seguridad permite la coordinación de una respuesta efectiva frente a actividades maliciosas como las causadas por “WannaCry”.

Controles correctivos:

  • Requerimiento 6.2 – Actualizaciones de seguridad: y proceder con el despliegue de las actualizaciones de seguridad dependiendo de su criticidad (las actualizaciones criticas deben ser instaladas como máximo un mes después de que el fabricante las haya publicado). En el caso del malware “WannaCry”, la actualización se encontraba disponible 2 meses antes de que el malware empezará la infección masiva.

Lecciones aprendidas:

  • Requerimiento 2.2.b – Actualización de los estándares de configuración segura: PCI DSS exige que posterior a la identificación de una vulnerabilidad, se actualicen los estándares de configuración segura para evitar que nuevos sistemas entren en Producción manteniendo vulnerabilidades que ya han sido gestionadas y solucionadas. Para evitar nuevas infecciones por “WannaCry”, simplemente incluir la siguiente tarea para deshabilitar SMBv1 en sistemas Microsoft Windows:

  • Requerimiento 12.10.6 – Mejora del plan de respuesta a incidentes: Finalmente, PCI DSS exige la inclusión de todas las acciones realizadas como parte de la respuesta ante este tipo de incidentes dentro de un ciclo de mejora contínua basado en lecciones aprendidas. Esto permitirá mantener el Plan de Respuesta a Incidentes actualizado y evitará que se vuelva a incurrir en errores que ya fueron solventados previamente. En el caso de “WannaCry”, el mejor ejemplo de respuesta a incidentes lo demostró el equipo del CCN-CERT español (Centro Criptológico Nacional) con la generación de sus informes y herramientas para controlar la infección debida a este ransomware.

Desde PCI Hispano os invitamos a compartir vuestras experiencias con este malware en los comentarios o en el foro.