WannaCry: El criptovirus que pone de cabeza al mundo
WannaCry o WanaCrypt0r, es un software malintencionado (criptovirus) que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción.
Apenas hace unos días, el 12 de mayo de 2017, los medios de comunicación comenzaron a hablar de una infección a gran escala que afectaba a las empresas Telefónica, Iberdrola y Gas Natural entre otras compañías españolas, así como al servicio de salud británico, como confirmó el Centro Nacional de Inteligencia.
Distribución geográfica de destinos de acuerdo a la telemetría de SecureList durante las primeras horas del ataque |
El ataque se inicia a través de la ejecución remota de código en Microsoft Windows SMBv2. Este exploit o vulnerabilidad (con nombre en código “EternalBlue”) se hizo público a través de Shadowbrokers, un grupo de hackers que aparecieron por primera vez en el verano de 2016 publicando diversas filtraciones, entre ellas, de la Agencia de Seguridad Nacional de los Estados Unidos (NSA), incluídas sus herramientas de hacking, exploits y vulnerabilidades dirigidos a los cortafuegos de empresas privadas, productos de Microsoft y anti-virus.
EternalBlue fue reparado por Microsoft a tan solo unos días de darse a conocer, el 10 de marzo de 2017 (problema MS17-010). Sin embargo, se distribuyó solo a las versiones con soporte posteriores a Windows Vista, y como un parche por separado para Windows 8, Server 2003 y XP.
Las críticas de Microsoft a la NSA no se han hecho esperar. Los responsabilizan por la propagación de WannaCry. Brad Smith, el presidente de la compañía ha escrito en el blog del gigante informático lo siguiente:
"Este es un patrón emergente en 2017. Hemos visto que vulnerabilidades almacenadas por la CIA aparecen en WikiLeaks, y los clientes ahora encuentran que por una vulnerabilidad robada de la NSA, han afectado a todo el mundo. En repetidas ocasiones, exploits en manos de gobiernos se han filtrado al dominio público y han causado daños generalizados. Es un escenario equivalente a que armas convencionales del ejército de Estados Unidos como sus misiles Tomahawk fueran robados. Y el ataque más reciente representa un enlace completamente involuntaria pero desconcertante entre las dos formas más graves de amenazas de seguridad cibernética en el mundo de hoy - la acción del Estado-nación y la acción del crimen organizado."
Las críticas de Microsoft a la NSA no se han hecho esperar. Los responsabilizan por la propagación de WannaCry. Brad Smith, el presidente de la compañía ha escrito en el blog del gigante informático lo siguiente:
"Este es un patrón emergente en 2017. Hemos visto que vulnerabilidades almacenadas por la CIA aparecen en WikiLeaks, y los clientes ahora encuentran que por una vulnerabilidad robada de la NSA, han afectado a todo el mundo. En repetidas ocasiones, exploits en manos de gobiernos se han filtrado al dominio público y han causado daños generalizados. Es un escenario equivalente a que armas convencionales del ejército de Estados Unidos como sus misiles Tomahawk fueran robados. Y el ataque más reciente representa un enlace completamente involuntaria pero desconcertante entre las dos formas más graves de amenazas de seguridad cibernética en el mundo de hoy - la acción del Estado-nación y la acción del crimen organizado."
Como podemos imaginar, las computadoras de las empresas privadas que no habían aplicado las actualizaciones de seguridad al 14 de marzo de 2017, que incluían la solución al problema MS17-010 en el sistema operativo Windows fueron afectados. Los archivos quedaron codificados y apareció un mensaje en pantalla que exigía un rescate de 300 dólares en bitcoins a cambio de decodificarlos.
¿Cómo se desarrolla el secuestro de los archivos? Después de cifrar los ficheros del disco duro, WanaCrypt0r cambia las extensiones de los archivos afectados por .WNCRY y muestra en la pantalla el mensaje: “Ooops, tus archivos importantes están encriptados”, solicitando el rescate de 300 dólares en bitcoins para liberarlos. Este mensaje incluye instrucciones sobre cómo realizar el pago y un cronómetro.
@MalwareTechBlog, un programador de Reino Unido detuvo momentáneamente el ataque casi por casualidad mientras estudiaba el virus para comentarlo en su sitio. Al ver que estaba conectándose a un dominio no registrado, simplemente lo compró con 10 dólares:
I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.— MalwareTech (@MalwareTechBlog) 13 de mayo de 2017
Esta medida, obviamente, fue momentánea. Millones de equipos informáticos permanecen vulnerables y las empresas deben prepararse para una nueva oleada.
Si tu computadora ha sido afectada, no hagas el depósito. Hay forma de recuperar la información y desinfectarla, pero es necesario hacerlo sin perder tiempo. Los archivos sí pueden ser dañados después del tiempo establecido y el pago del rescate no garantiza que los archivos sean devueltos a su estado original.
Eso sí, no debes entrar en pánico. Los secuestradores de archivos son más comunes de lo que parece.
Para saber más:
Cómo eliminar y protegerte del ransomware, el virus que secuestra tus archivos y te pide dinero para recuperarlos
Para saber más:
Cómo eliminar y protegerte del ransomware, el virus que secuestra tus archivos y te pide dinero para recuperarlos
No hay comentarios.