Sobre el ataque a Piriform (CCleaner)

Un par de apuntes rápidos para despejar confusiones, empezando por algo de contexto.
CCleaner (antiguamente Crap Cleaner) es un programa multiusos de limpieza, optimización y mantenimiento de sistemas operativos Windows que tiene gran solera -la primera versión se publicó a mediados de 2003-, muy amplio uso y considerable reputación — salvo en Microsoft porque, como es de esperar, destapa ciertas vergüenzas.

CCleaner es un producto desarrollado por Piriform, compañía británica que fue adquirida en verano de 2017 por el gigante de programas de seguridad checoslovaco Avast Software.

Lo que sigue es un compendio de la información esencial relacionada con el suceso de finales de verano respecto a CCleaner y Piriform:

• A comienzos de la penúltima semana de septiembre se hizo público que Piriform sufrió una brecha de seguridad, aún por concretar. Esto devino en la modificación del programa CCleaner para Windows; seguida de la instalación, dentro del propio programa, de una versión del malware Floxif con efecto reducido.
  El modo en que este ataque se llevó a cabo aún está por clarificar, aunque existe una investigación coordinada con las autoridades competentes para identificar a los responsables.
• El efecto final es que existe un software malicioso en dos versiones obsoletas de CCleaner:
• CCleaner 5.33.6162
• CCleaner Cloud 1.07.3191
• Estas versiones estuvieron disponibles para su descarga desde la web de Piriform durante algo menos de un mes (desde el 15 de agosto al 11 de septiembre).
• El malware sólo se instaló en la versión de 32-bits de la utilidad.
  Es decir, si se dispone de un sistema operativo de 64-bits y ha estado empleando la versión de 64-bits, no existía riesgo de infección. Pero un sistema de 64-bits empleando una versión de 32-bits sí pudo ser infectado.
• Esta variante de Floxif opera como spyware, recabando los siguientes datos de sistema para enviarlos a un servidor remoto:
• número de versión de Windows
• nombre del equipo (asignado a Windows)
• direcciones IP de los adaptadores de red
• lista de los procesos en memoria en ese momento
• lista de los programas instalados
• información sobre si la versión de CCleaner es de 32 o 64 bits
• Es importante señalar que la versión de CCleaner con malware estaba firmada digitalmente -realizado durante el ataque a Piriform- y los antivirus aún no la detectaban como ilegítima.
• El proceso de infección es, aproximadamente, como sigue:
• El sistema remoto mencionado es la dirección IP de un servidor de mando y control (cuando un malware genera una red de robots los equipos infectados contactan con el servidor para recibir instrucciones sobre qué hacer).
  En caso de que el servidor no estuviera disponible durante la consulta, el malware contiene una lista de once referenciadores que informarán de otro u otros servidores de mando y control (MyC). Esos referenciadores eran dominios .com que aún no habían sido registrados. Durante las primeras indagaciones tras descubrir que la versión de CCleaner no era legítima, un equipo de investigadores de la compañía Cisco Talos Intelligence tomó la delantera y los registró para que no fueran utilizables por el malware.
  Posteriormente desde Avast se pusieron en contacto con las autoridades para que el servidor de MyC fuera deshabilitado y analizado. Sus hallazgos han sido publicado en dos entradas de su blog: "Progress on CCleaner Investigation" y "Avast Threat Labs analysis of CCleaner incident".
• El proceso de infección contiene aún una segunda parte mucho más elaborada que sólo afecta y se aplica a sistemas dentro de una serie de redes corporativas de empresas tecnológicas.
• La hipótesis más probable sobre el ataque a Piriform es que alguien accedió a un servidor encargado de generar y certificar las versiones de CCleaner de manera cotidiana. Los intrusos tomaron control de este servidor, introdujeron el malware, introdujeron la firma digital de Piriform en el fichero y produjeron un lanzamiento de nueva versión normal y corriente.
  Y aunque no existe atribución de ningún autor, se conjetura que este malware sea un sofisticado ciberataque a corporaciones de alto nivel para recabar información -y eventualmente robar información basada en propiedades intelectuales y otros secretos industriales- todo ello camuflado de ataque indiscriminado.
  En octubre la compañía Intezer Labs hizo pública su investigación pormenorizada al respecto, concluyendo que las sospechas de una vinculación con hackers chinos y un respaldo nacional en cuanto a la segunda etapa de la infección tienen cada vez más peso.
• También es importante resaltar los tiempos de reacción de Avast/Piriform y la metodología seguida por los atacantes. Esta es la cronología de eventos:
• 31 de julio Los atacantes preparan el servidor de mando y control (MyC).
• 11 de agosto (+11 días) Crean la base de datos en el servidor de MyC donde se almacenará toda los datos adquiridos.
• 15 de agosto (+4 días / +15 días) Infectan las dos versiones mencionadas de CCleaner en el servidor de Piriform y las publican.
• 20 de agosto (+5 días / +20 días)  La compañía de seguridad Morphisec detecta comportamiento de malware en la versión infectada de CCleaner.
• 10 de septiembre (+21 días / +41 días) El servidor de MyC se queda sin espacio de almacenamiento y la recolección de datos deja de producirse. Los atacantes intentan liberar espacio y la base de datos queda corrompida.
• 12 de septiembre (+2 días / +43 días) Los atacantes desinstalan y reinstalan la base de datos en el MyC.
• 12 de septiembre (-) Desde Morphisec contactan con Avast para informar de la situación y sus pesquisas. También contactan con la empresa Cisco.
• 12 de septiembre (-) Piriform publica nueva versión de CCleaner. La 5.34.6207 (que estaba libre del malware Floxif), remplazando a la infectada, 5.33.6162.
• 12 de septiembre (-) Avast contacta con las autoridades competentes para informar de la situación.
• 13 de septiembre (+1 día / + 44 días) Desde la compañía Cisco Talos Intelligence contactan con Avast para comunicar sus investigaciones sobre el malware encontrado.
• 15 de septiembre (+2 días / 46 días) Las autoridades localizan y requisan el servidor de MyC al completo.
• 18 de septiembre (+3 días / 49 días) Piriform publica una disculpa en su blog y detalles preliminares respecto al malware.
  La situación se vuelve pública y los medios de comunicación y blogs tecnológicos dan cuenta de ella.
• 18 de septiembre (-) Avast publica una entrada corporativa en su blog con varios contenidos:
• Indicando que la versión comprometida estuvo sin detectar durante cuatro semanas.
• Excusándose de la situación y ofreciendo datos publicitarios.
• Quitando hierro al asunto respecto a los efectos del malware y calmando a usuarios corporativos.
• Asegurando (a raíz de los datos recabados por Avast Security Software en los sistemas de usuarios con CCleaner) que la segunda etapa del malware nunca llegó a activarse.
• Avisando además del lanzamiento de la versión 5.33.6163, idéntica a 5.33.6162 pero sin malware.
• Garantizando que no ha habido ningún peligro para usuarios o clientes debido a su pronta actuación.
• 20 de septiembre (+2 días / 51 días) Cisco Talos Intelligence publica nuevos hallazgos respecto a la segunda parte de la infección, la cual afecta específicamente a un surtido número de empresas punteras de tecnología.

Para saber con certeza si un sistema Windows ha sido infectado siga los siguientes pasos:

• Compruebe si el registro de Windows contiene alguna de estas rutas:
• HKEY_LOCAL_MACHINE\SOFTWARE\Piriform\Agomo
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\002
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\003
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\004
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\HBP
• Adicionalmente, también aparecerán los ficheros que inician el desplegado para el ataque corporativo GeeSetup_x86.dll y ITSMSISrv.dll. Además de uno de los dos ficheros que lo realizan: VirtCDRDrv32.dll o EFACli64.dll.
• Cualquier versión de CCleaner actualizada eliminará los ficheros creados por el malware pero no la rutas de registro indicadas.

En caso de tener un equipo infectado es recomendable:

• Desinstalar CCleaner.
  Y, opcionalmente, actualizar e iniciar la última versión de CCleaner, si se va a continuar usando la utilidad.
• Buscar y eliminar las claves de registro indicadas.
• Buscar y eliminar los ficheros indicados (en caso de desinstalar y no actualizar CCleaner).
• Realizar un análisis de sistema con Windows Defender (tras haber actualizado las protecciones del antivirus) u otro antivirus puesto al día.
• Si se trata de uno o varios equipos con información particularmente sensible, el consejo unánime de todos los investigadores es sanear dispositivos:
• Dar formato al dispositivo de almacenamiento que contiene el sistema operativo y cualquier otro que haya podido ser accedido a la vez o tras el uso de la versión de CCleaner infectada.
• Tras esto, volver a instalar el sistema y recurrir a copias de seguridad para el resto de datos.
• Si el borrado general no es una alternativa aceptable o no existen copias de seguridad se recomienda poner en cuarentena todos los ficheros imprescindibles de forma segura en otro sistema.
  Tras esto, formatear dispositivos y analizar los ficheros seguidas veces en diferentes días con un antivirus actualizado antes de darlos por reutilizables al cabo de varias semanas.
  En caso de que el tiempo sea un factor esencial, la alternativa es recurrir a todas las soluciones principales de antivirus, ya sea de manera directa o mediante sistemas virtuales. Lo que no quitaría el revisado sucesivo mencionado.

Qué hacer para evitar el contagio de PetrWrap (NotPetya / Petya 2017)

Antes de ver qué opciones y soluciones existen para evitar la infección de este software malicioso que ha pillado -de nuevo- al mundo por sorpresa veamos un repaso contextual a modo de aclaraciones e información general:

• PetrWrap -también conocido como NotPetya, Nyetya, ExPetr y Petya (sic)- es un malware del tipo gusano informático y apariencia de ransomware surgido a raíz de otro existente llamado Petya, al cual se ha añadido el aprovechamiento de varias vulnerabilidades conocidas en sistemas operativos Microsoft Windows:
• La misma que WannaCry (EternalBlue), es decir el protocolo de red SMBv1.
• Una vulnerabilidad de Microsoft Office y Wordpad (1) (2) ya corregida y relacionada con la ejecución de código remoto.
• Los recursos compartidos administrativos. Se encuentran habilitados de forma predeterminada y suponen un riesgo al proporcionar acceso a los ficheros de la máquina en la que se encuentran disponibles.
• La tecnología de gestión "Windows Management Instrumentation" (WMI), que no es una vulnerabilidad en sí misma pero puede ser explotada para acelerar el proceso de infección.
• PetrWrap además integra una variante de la herramienta de ataque Mimikatz/LSADump -empleada para conseguir las claves de acceso al sistema del usuario actual y otros efectos al fin- con el objeto de conseguir credenciales para desplegarse por la red local.
• PetrWrap es un malware muy virulento y acabará por extenderse más que WannaCry, aunque posiblemente no tanto fuera de entornos corporativos. Pese a que meses atrás ya se hizo pública una de sus formas de propagación fuera del ámbito informático, la manera en que combina las otras lo hace mucho más peligroso.
• PetrWrap comenzó su ciclo de vida infectando ordenadores en Ucrania. Se barajan dos vectores originarios de infección mediante el acceso no autorizado y la manipulación de servidores: uno, a través del sistema de autoactualizado del software de contabilidad MeDoc, utilizado a lo largo y ancho del país en todos los sectores. El otro, empleando la web del ayuntamiento de la ciudad de Bajmut, situada al este de Ucrania.
• PetrWrap es sólo ligeramente menos destructivo que WannaCry. Cifra y elimina algunos tipos de ficheros (principalmente documentos y archivos, no imágenes ni ejecutables; la lista está al final de esta entrada) de carpetas con hasta 15 niveles de anidación, excluyendo c:\Windows. Posteriormente, tras reiniciar el equipo infectado cifra el índice de ficheros del disco duro mientras muestra una falsa comprobación de disco duro (imitando el aspecto del chkdsk integrado en DOS/Windows) para que el usuario no interrumpa el proceso. Es decir, cifra dos veces, dos aspectos distintos. Abarca más y es más rápido en su operación.
• PetrWrap no es WannaCry 2.0. Este nuevo malware es mucho más versátil y capaz que WannaCry a la hora de encontrar cómo distribuirse y sólo tienen en común una de las vulnerabilidades aprovechadas. 
• Aunque PetrWrap fue aparentemente diseñado como ransomware, durante sus primeras horas de vida se descubrió que la dirección de correo asociada había sido dada de baja. Posteo, la empresa alemana que gestiona el dominio de la cuenta de correo electrónico que empleaba el malware hizo público que la cuenta fue rápidamente deshabilitada.
• En todos los ámbitos se está cuestionando por qué los desarrolladores de PetWrap emplearon un método de comunicación para cobrar el rescate tan sencillo de interrumpir. Las estimaciones por ahora son que el objetivo nunca fue generar un beneficio económico sino un perjuicio sistemático, más o menos focalizado, aún por determinar contra quién — aunque ya se sospecha que este ataque suma uno más en una serie (XData, PSCrypt, PetrWrap y una imitación de WannaCry que bien se podría llamar NotWannaCry) dirigida contra el país del este.
• Adicionalmente, y apoyando estas hipótesis, los análisis realizados desde los laboratorios de las empresas de seguridad Kaspersky y Comae Technologies han señalado que, de cualquier modo, no había posibilidad de recuperar los datos -incluso aún pagando el rescate en los primeros momentos- puesto que el identificador generado para cada víctima no es un identificador calculado sino una secuencia de caracteres generados al azar. Esto convierte al malware en un inutilizador masivo de equipos, sin ser exactamente lo que se viene llamando un wiper -un eliminador de datos-, pero con estructura de ransomware como distracción durante los momentos mediáticos.
• Dado lo dispares que son los detalles precisos en cuanto a la información disponible -incluso la proporcionada por fabricantes de soluciones de seguridad y entornos técnicos especializados- es posible que se hayan esparcido diferentes variantes de este malware con diferencias menores entre sí.
• Aún es pronto para saber si se podrá desarrollar un software de prevención que impida todas las vías de contagio.

Qué hacer para evitar el contagio del ransomware WannaCry

A fecha de hoy casi cualquier persona habrá oído hablar de la situación vista en diferentes países respecto al ransomware llamado WannaCry (también WanaCrypt0r 2.0, WCry o WCrypt). Este malware es una mezcla de gusano y troyano que se distribuye de diferentes maneras, principalmente correos spam, publicidad engañosa y, la más mediática y escandalosa, a través de un agujero de seguridad explotado por malware de terceros (con una historia novelesca detrás digna de Tom Clancy) que afecta a todos los sistemas operativos de Microsoft desde el cambio de siglo: Windows Vista SP2, 7, 8.1, 10 y los Server 2008/2012/2016; en esta lista también se incluyen los que se encuentran sin soporte (Windows XP, 8 y Server 2003). Y aquí es donde está el meollo de la cuestión.

Antes de nada, advertir que si alguien ha visto infectado alguno de sus equipos con "WannaCry" -fácil de verificar por las ventanas amenazantes y la aparición de ficheros con la extensión .wncry-, las posibilidades de recuperar los datos son prácticamente nulas — puesto que el pago nunca es recomendable. No hay descifrado posible de los datos dado que la clave que los cifra no se guarda en el equipo de la víctima. Dicho esto, es posible que eventualmente aparezca una clave maestra o similar; no sería la primera vez.