Malware infecto a miles de ordenadores en 99 países
Miles de ordenadores en cientos de empresas alrededor de 99 países fueron infectados por un malware del tipo ransomware, llamado Wanna Cry (WCry, WannaCryptor, o WannaDecryptor 2.0).
Esto ocurrió ayer 12 de mayo por la mañana, cuando se inició una campaña de difusión masiva, siendo una de las más aterradoras para los departamentos de IT alrededor del mundo.
El ataque comenzó por las alertas emitidos en la central de Telefónica en España, luego en Universidades Chinas, el Ministerio de Interior en Rusia y así, otras organizaciones se fueron sumando a lo largo del día.
En la mayoría de los casos, los usuarios de estas empresas no se vieron directamente afectados por los ataques.
Una de las organizaciones afectadas fue el Sistema Nacional de Salud Británico, cuyo ataque derivó en la inhabilitación de muchos centros asistenciales que operan con programas de citas médicas.
A consecuencia del malware muchos pacientes con citas previas no recibieron atención por falta de sus expedientes médicos y el orden de las citas.
Es aquí donde podemos observar en primera fila la relevancia que hoy en día tienen los sistemas de información, y cuánta importancia debemos darle a la seguridad de esos sistemas.
¿Cómo se infectaron tantas organizaciones por el Wanna Cry?
Es la segunda versión de un ransomware que vio la luz por primera vez en febrero de este año. Wanna Cry encripta los archivos de uso común en un ordenador.
Poniendo una clave para desencriptar los archivos, solicita en este caso un pago de US$ 300 en Bitcoins.
Según las investigaciones, se utilizó un exploit presente en Windows Vista, Windows 7 y Windows Server 200 llamado de ‘EternalBlue’.
Gracias a este exploit, los atacantes pueden ganar acceso remoto a los ordenadores objetivos vía el protocolo SMBv1.
El exploit fue dado a conocer gracias a las filtraciones de los documentos de la NSA por parte de WikiLeaks.
Al parecer esta agencia de inteligencia en Estados Unidos habría estado utilizando esta vulnerabilidad para perpetrar campañas de ciberespionaje.
Desde que EternalBlue fue dado a conocer, Microsoft tomó acciones para prevenir futuros ataques masivos como el ocurrido. Lanzó un parche bajo el nombre clave MS17-010, que corrige el problema de raíz. Al parecer muchas empresas optaron por ignorarlo y, sobre todo, ignorar la relevancia de los documentos que WikiLeaks expuso en Vault 7.
La instalación de Wanna Cry, no tiene mucha ciencia aplicada. El Ransomware se descarga de forma remota, se auto-extrae y auto-ejecuta el instalador. Luego descarga el cliente TOR para poder realizar sus comunicaciones a través de esta red anónima.
Wanna Cry analiza las bases principales de archivos del sistema y procede a encriptar los tipos de documentos y archivos principalmente utilizados en el sistema. Todo archivo encriptado es renombrado con la extensión. WNCRY.
En caso de que el usuario realice el pago, enviando el monto especificado a la dirección Bitcoin, deberá hacer clic en ‘Check Payment’.
El killswitch fue encontrado en el código de Wanna Cry por un investigador en seguridad informática que opera el MalwareTechBlog cuenta con el mismo.
Según cuenta él mismo, descubrió que cada vez que Wanna Cry comenzaba su infección chequeaba antes un dominio en Internet: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
Este dominio no se encontraba registrado, así que MalwareTechBlog gastó £10 para hacerlo suyo y, sorpresivamente el proceso de encriptación que ejecuta Wanna Cry dejó de ejecutarse. Así pues, aunque el ransomware siga diseminándose, este no encriptará los archivos de sus víctimas. Pero hay que aclarar que aquellas empresas ya infectadas y en cuyas cuales se encriptaron sus archivos, nada cambiará.
De hecho, investigadores en seguridad advierten que esto solo ha contenido la infección de la versión 2.0 de Wanna Cry.
Nada evita que se esté escribiendo una nueva versión, con un killswitch distinto.
¿Debería pagar por Ransomware?
Esta pregunta la analizamos hace un tiempo con la conclusión de un estudio realizado por Kaspersky. En concreto, los datos del estudio de Kaspersky revelan que más del 36% de las empresas afectadas por Ransomware terminan pagando la demanda, pero solo hasta un 20% no reciben sus datos de vuelta.
Así pues, aparte de contribuir al crimen organizado pagando por el rescate, te estarías arriesgando a que estos criminales se queden con tu dinero y no recuperes tus archivos. Y cuando hablamos de varios cientos de dólares americanos, la verdad es que tomar ese riesgo no es una opción que parezca viable.
¿Cómo prevenir la infección?
Debemos tomar precauciones extra en caso de ser atacados nuevamente por un ciberataque, es necesario contactar nuevamente a las autoridades.
Hasta el momento, no hay una herramienta diseñada para desencriptar Wanna Cry 2.0, pero conectarse con las autoridades es sin duda un paso necesario, como en cualquier crimen.
La iniciativa NoMoreRansom esta soportada por Kaspersky, ESET, TrendMicro, Bitdefender, Intel, Amazon, Europol, y otra docena de organizaciones públicas y del sector privado.
Mantenerse alerta cuando llegue cualquier tipo de mensaje por medio del correo electrónico y tener mucha pericia al abrir documentos adjuntos.
Otra medida para combatir con facilidad los ataques de ransomware es mantener actualizados nuestros sistemas, sin importar si sean Windows o MacOS.
Wanna Cry ha realizado un exploit que Microsoft ya lanzó como parche hace unos meses. No incluyen en el parche a Windows XP y Windows 8;
Los parches son para las siguientes versiones: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64