Ataques de ransomware a través de redes WiFi

¿Puede el ransomware propagarse a través de las redes WiFi? Sí, es posible.

Citando a Wikipedia: “El ransomware es un tipo de malware que amenaza con publicar los datos personales de la víctima o bloquear perpetuamente el acceso a ellos a menos que se pague un rescate.
Los ataques de ransomware suelen llevarse a cabo mediante un troyano, entrando en un sistema a través de, por ejemplo, un archivo adjunto malicioso, un enlace incrustado en un correo electrónico de phishing o una vulnerabilidad en un servicio de red.”

Desde 2020, los ataques de ransomware crecen día a día. Este tipo de malware se ha convertido en una de las principales amenazas en el panorama de la ciberseguridad de diversos sectores. Varios informes han demostrado que los MSP, los ISP y los SP siguen siendo los principales objetivos de estos ataques. La razón es sencilla: su modelo de negocio da servicio a muchas pymes, medianas y grandes empresas.

En su último informe sobre seguridad en la red, Cybersecurity Ventures estimó que “cada dos segundos se produce un ataque de ransomware. Los costes globales de los daños proyectados para 2031 serán de aproximadamente 265.000 millones de dólares”.

La amenaza del ransomware no siempre está relacionada con las descargas de software o el phishing a través del correo electrónico. El aumento del tráfico de la red global y los intereses económicos de los grupos de hackers en el periodo posterior a Covid19 han multiplicado los tipos y la cantidad de ataques a las redes corporativas. Hay categorías de ransomware, como Emotet, que operan como gusanos burlando las contraseñas más débiles e infectando múltiples redes inalámbricas contiguas. Hay categorías de ransomware, como Chameleon, que sustituyen el firmware de un punto de acceso existente y enmascaran las credenciales de cara al exterior.

Es prácticamente imposible defender las redes WiFi contra todos los tipos de ransomware. El enfoque correcto que deben tener los MSP, ISP y SP en este complejo escenario de amenazas de malware es adoptar las mejores tecnologías de defensa contra el ransomware en relación con el WiFi.

¿Cuál es la mejor defensa para las redes corporativas contra el ransomware WiFi?

Tanaza sugiere configurar la autenticación RADIUS + NAS ID con WPA-Enterprise.

Como ejemplo, analizamos el comportamiento del ransomware Chameleon para entender el enfoque utilizado por Tanaza para combatir los ataques de ransomware.

El objetivo de este ransomware es el robo de datos, el mal funcionamiento de los dispositivos en el nivel OSI 2 y el bloqueo de listas de archivos o sistemas enteros para pedir un rescate cuando se integra con gusanos.

La primera parte maliciosa del código de este ransomware escanea a fondo la red para descubrir posibles susceptibilidades en los puntos de acceso. Las vulnerabilidades analizadas incluyen contraseñas débiles, firmware obsoleto y protocolos de encriptación de dispositivos Wi-Fi inseguros (como WEP, WPA, WPA+TPKI, WPA + TKIP/AES, WPA + AES). Cuando el ransomware encuentra puntos de acceso con contraseñas fáciles de descifrar (lo que facilita los ataques de diccionario) o protocolos de red inseguros, el ransomware puede saltarse los protocolos de seguridad y la interfaz administrativa del punto de acceso.

En ese momento, Chameleon identifica y almacena la configuración del sistema del AP, sustituyendo el firmware original por una nueva configuración maliciosa del AP cargada de virus.

La actividad del malware es imparable. La propagación del ransomware continuaría a pesar de las actualizaciones de los métodos de seguridad, como la inspección profunda de paquetes o la modificación de los protocolos de seguridad en una fecha posterior. El malware podría infectar otros nodos. La propagación continuaría cerca de las redes débiles en un bucle infinito.

La prevención del ransomware WiFi es la mejor cura

La configuración del servidor de autenticación RADIUS + NAS ID con WPA-Enterprise proporciona una triple capa de seguridad para los MSP, ISP y SP.

Cuando un usuario intenta autenticarse en la red, rellena los campos con un nombre de usuario y una contraseña para iniciar la sesión. El dispositivo crea un mensaje de solicitud de inicio de sesión y lo envía al servidor RADIUS preconfigurado. En este mensaje están las credenciales encriptadas. El servidor Radius compara las credenciales de acceso recibidas con los datos de una base de datos interna para determinar si el cliente es conocido.

Si el dispositivo es un cliente conocido para el servidor RADIUS y el secreto compartido es correcto, el servidor examina el método de autenticación solicitado en el mensaje de solicitud de acceso. Si no, el RADIUS envía un mensaje de denegación de acceso mostrando el error de autenticación. La comunicación RADIUS finaliza y se deniega el acceso al cliente.

A este nivel, la red de MSPs, ISPs y SPs tiene fuertes estándares de protección porque, al escanear la red por el malware en busca de susceptibilidades de APs, el ransomware debe violar los protocolos WPA Enterprise AES-CCMP (saltándose las técnicas de cifrado fuerte: ‘counter mode’ y ‘CBC-MAC’) e interceptar el mensaje de Solicitud de Acceso, falsificándolo con la lista de credenciales de la base de datos.

La actividad del malware es imparable. La propagación del ransomware continuaría a pesar de las actualizaciones de los métodos de seguridad, como la inspección profunda de paquetes o la modificación de los protocolos de seguridad en una fecha posterior. El malware podría infectar otros nodos. La propagación continuaría cerca de redes débiles en un bucle infinito.

¿Qué es la WPA Enterprise?

WPA Enterprise es uno de los métodos de seguridad WiFi más seguros para la protección de la red. El protocolo está diseñado específicamente para la defensa de la red de las organizaciones corporativas. El método de cifrado utilizado por este protocolo de seguridad es AES-CCMP: cifra los datos transmitidos por vía aérea.

¿Qué es la autenticación RADIUS?

El servicio de autenticación remota de usuarios por marcación (RADIUS) es un protocolo cliente/servidor y un software que permite a los servidores de acceso remoto comunicarse con un servidor central para autenticar a los usuarios por marcación y autorizar su acceso al sistema o servicio solicitado.

¿Qué pasa si la autenticación falla en el servidor primario?

Tanaza ha habilitado una función de servidor secundario. Al igual que en el caso anterior, se pueden configurar direcciones IP o nombres de host, puertos y secretos compartidos (contraseña, frase de paso o un número).

¿Cómo configurar el servidor RADIUS para la autenticación inalámbrica?

Para obtener el mejor rendimiento y seguridad de la red, Tanaza sugiere que el servidor RADIUS y los puntos de acceso de la pasarela estén situados en el mismo dominio de transmisión de capa 2 para evitar retrasos en el cortafuegos, el enrutamiento o la autenticación. Otra característica interesante que los MSPs, ISPs y SPs pueden utilizar como método de seguridad es establecer el ID del NAS.

NAS ID – Identificador del servidor de acceso a la red

NAS ID es la tecnología de protección adicional desarrollada por Tanaza para proteger las redes del ransomware. El ID de NAS es un código de texto que permite al servidor RADIUS elegir la política para esa solicitud específica. El NAS-ID se envía al servidor RADIUS desde la plataforma centralizada mediante una solicitud de autenticación para clasificar a los clientes en diferentes grupos y subgrupos. Esto permite al servidor RADIUS enviar una respuesta de autenticación personalizada.

Seguridad de la segmentación de la red mediante el acceso SSH de los AP

Anteriormente, analizamos cómo la autenticación del servidor Radius y el protocolo de seguridad WPA son una sólida protección contra el ransomware para la seguridad del SSID.

Tanaza ofrece otra capa de protección a nivel de AP: el acceso SSH.
La protección SSH ofrece a los profesionales de la informática y la seguridad de la información un mecanismo sólido para gestionar clientes de forma remota. En lugar de requerir la autenticación de la contraseña para iniciar una conexión entre un cliente y un servidor SSH, SSH autentica el propio punto de acceso.

Los operadores pueden habilitar el acceso a SSH en diferentes granularidades de la red segmentada:
– para cada punto de acceso individual;
– para toda la red a través de la funcionalidad de configuración de toda la red.

Recordemos por un segundo el mencionado ransomware Chameleon y su acción maliciosa de escanear la red en busca de susceptibilidades de los AP para reemplazar el firmware original. El protocolo de encriptación SSH es otro robusto escudo para evitar intrusiones en el AP y modificaciones del firmware. Cuando se habilita SSH, el punto de acceso está protegido de los requisitos más altos de cumplimiento de la clave SSH.