Crónicas del Malware I: WannaCry, aka cómo pasar del inminente plan de actualización, al dónde está mi backup.

La cafetera sonó como otro día cualquiera. Con algo más de sueño de lo habitual, me dispuse a salir corriendo dirección a la estación de cercanías más próxima a casa, mochila en la espalda, móvil personal en el bolsillo izquierdo, de empresa en el derecho, y en la mano el típico paquete de galletas de mantequilla, que se estila hoy en día en esas cafeterías que se hacen llamar modernas, y en cuya carta reluce su pack de desayuno por solo 6,99€ "Happy Friday Lunch".

Como todos los viernes, algo de electrónica LO-FI  pretendía hacerme más corto el viaje en transporte público hasta la sede del cliente al que me encontraba auditando. En Atocha, había quedado con mi compañero del curro, Eugenio, mi guerrero en la lucha diaria. Desde que coincidimos en la empresa, y más concretamente en el proyecto, combatimos a diario contra la habitual burocracia que existe en grandes empresas; equipos y máquinas con sistemas arcaicos sin actualizar, antivirus cuyo último paquete de firmas de malware data de allá por el 2005 o servidores cuyos administradores nunca consideraron un problema dejar contraseñas "by default".

El cartel de RENFE anunciaba los 4 minutos restantes para la llegada del siguiente cercanías. Nada parecía fuera de lo normal. Una vez en el vagón, las conversaciones rutinarias poniéndonos al tanto en lo personal, en noticias, recordando eventos del día y casos de pendiente resolución, iban apareciendo de forma indirectamente proporcional al sueño que ambos teníamos.

Entramos en la oficina cual equipo de Men In Black, bebiéndome el que para mi ya era el segundo café de la mañana. Saludo al chico de seguridad mientras hago uso del sistema de fichaje biométrico en la entrada, esperamos en la puerta del ascensor y, cuando nos toca subir, lo hacemos reiterando el odio al típico empleado que no contempla la opción de subir a la primera planta por las escaleras. Una vez llegué a mi puesto, y pasada la batería de saludos diaria entre las caras conocidas de la oficina, procedí a encender mi equipo.

Llevábamos varias semanas testeando la seguridad de los sistemas del cliente, aunque realmente este era el segundo año que nos habían elegido para pasar su auditoría. Eugenio empezó a hablarme sobre algunos detalles técnicos del report que se encontraba redactando en ese momento. La empresa no había aplicado prácticamente ninguna de las recomendaciones que habían sido propuestas en anteriores controles, entre otras cosas, la red era prácticamente plana, y por si fuera poco, aún quedaban bastantes máquinas con Windows XP. Sin embargo, aún desconocíamos lo que empezaba a suceder de forma simultánea en muchos otros rincones del mundo.

Tenía meeting de seguimiento, así que aproveché para tirar algunos escaneos a varios rangos de IP en NMAP, y los dejé trabajando para así ahorrar algo de tiempo después. Ese día, la reunión estaba siendo soporífera. Se me hizo realmente largo el viaje a través de la lista de KPI's, que conseguíamos completar semanalmente entre los diferentes equipos. Pero esta vez el balance final había sido bueno, pues había conseguido fecha para el protocolo de actualización de todas las máquinas coetáneas al apatosaurus, en un período menor a tres meses. Pero, sin yo saberlo, algo estaba apunto de frustrar el plan de actualización que tanto me había costado fechar. Tras la parte de ruegos y preguntas, se dio por concluida la reunión y nos dirigimos de nuevo a los puestos, pero, esta vez, aún desde lejos, me pareció que mi pantalla estaba encendida, algo que no suele ser habitual, pues es bien sabido para cualquiera del gremio que dejar un equipo sin bloquear con el típico "Win+L" puede tener graves consecuencias, no solo a nivel de ciberseguridad, sino también de reputación y orgullo entre los compañeros de Infosec.


Al llegar al equipo, una ventana roja adornaba de forma sugerente el escritorio del equipo. Sin intención de resultar agorero, el candado que podía verse en la parte superior izquierda y un llamativo banner con el logo de Bitcoin en la parte inferior, no formaban parte de ninguna de las aplicaciones que suelo usar en mi jornada de trabajo diaria.

El desastre estaba llamando a nuestras puertas. Examiné la interfaz de la aplicación y mis "ganas de llorar" empezaron a acuciar desde lo más profundo de mi pequeña alma de Hacker. Estábamos siendo atacados, me dije. Atacados por un ransomware. La falta de software antivirus con soporte EDR, la obsolescencia del software que utilizábamos y probablemente un desconocido 0-day, comenzaron a hacer mella en el cliente, propagándose rápidamente gracias a la arquitectura plana de la red, de cuyas debilidades llevabamos tiempo avisando. Avisé corriendo a Eugenio y ambos procedimos a desconectarnos de la red, pero era tarde. Demasiado tarde.

Le pedí a mi compitrueno que avisara al equipo de IR (respuesta ante incidentes) para que aplicase el protocolo pertinente, mientras yo entraba en Internet, a ver si conseguía informarme de si éramos los únicos afectados para intentar entender cómo el gusano había llegado a la red, y si existía forma alguna de mitigarlo.

De forma escalonada muchos de los compañeros de la oficina comenzaron a recibir el mismo mensaje que yo acababa de ver en la máquina corporativa. La mayoría de archivos de los equipos habían sido cifrados y se solicitaba el ingreso de una cantidad equivalente a 300$ en Bitcoins en una cartera para revertir la situación. No fuimos los únicos. De hecho el ataque se estaba expandiendo a nivel mundial y, sin garantía alguna de que el posible pago del rescate devolviese el sistema a su estado original, no quedaban demasiadas opciones.

Tras algunos intercambios de correos por nuestra parte tanto con el equipo de IR como con arquitectura de red, empezaron a llevarse a cabo las acciones pertinentes para reducir el alcance de la amenaza. Se expulsó de la red a todos los equipos que no pertenecían a infraestructura crítica de la empresa. Durante unas horas, aquello pareció el Apocalipsis. Las redes sociales se inundaron de mensajes relativos al ataque. La gente, nerviosa pensando en los meses de trabajo que podrían haberse perdido. En solo unos momentos, se pasó de la incertidumbre por conocer la magnitud del ataque, a la incredulidad al ver el potencial del mismo.

Por suerte para nosotros, y sobre todo para el cliente, éste había contratado un sistema de copias de seguridad en la nube que se ejecutaba cada noche de forma transparente. Pasarían varios días hasta que todo pudiese volver a la normalidad. Pero allí estaban ellos, los olvidados, los ninguneados. Esta vez eran ellos quienes debían tomar protagonismo y hacerse cargo del problema, los verdaderos héroes del momento, los backups.

No fue hasta ya entrada la tarde, habiéndose alargado la jornada laboral durante varias horas más de lo habitual, cuando Eugenio y yo pudimos volver a casa exhaustos, con la cabeza embotada, y casi sin fuerzas para hablar. Al llegar de nuevo a Atocha, nos despedimos como cada día, y una vez solo, volví a ponerme los cascos, para hacer el camino restante a casa, dando vueltas a todo lo que no había, pero habría podido pasar. Me puse ropa cómoda, preparé cual autómata una cena ligera, encendí la tele, abrí Netflix, puse a reproducir un capítulo de Dark y no tardé mucho en dormirme pensando que ese día, mi historia le ganaba en lo surrealista...