Ciberataque mundial con el ransomware Wanna Cry

16 de Mayo de 2017

Desde el viernes 12 de mayo de 2017 asistimos a un ciberataque a nivel global, con el ransomware Wanna cry. Voy a intentar explicar conceptos relacionados con este virus y este ataque a través de preguntas y respuestas.

¿Qué es un virus ransomware?

Es un módulo maligno cuya principal función es cifrar los archivos de nuestro sistema Windows con criptografía fuerte.

¿Qué importancia tiene que este proceso se haga con criptografía fuerte?

Esto permite que si no se tiene la clave (privada) de descifrado, no es posible por ningún otro medio recuperar los archivos originales.

¿Qué necesita el ciberdelincuente para poder atacar?

¿Cómo se produce la infección?

Habitualmente se produce al recibir por correo electrónico u otro medio digital, un programa cifrado, simulando ser otra cosa, que al ejecutarse descifra el código dañino y cifra nuestros archivos.

¿Cómo se transmiten estos virus?

Estos virus buscan a través de la red todas las unidades disponibles y cifran todos los archivos de ciertos tipos (documentos, hojas de cálculo, bases de datos, etc.) procurando que el sistema siga en funcionamiento, aunque a veces lo dejan bloqueado con la pantalla de aviso de infección.

¿Qué piden los piratas creadores del virus?

Piden un pago en bitcoins, moneda digital de muy difícil rastreo, y con un gran valor en este momento (sobrepasa los 1000$ cada bitcoin a día de hoy).

¿Qué está sucediendo?

El ataque se aprovecha de una vulnerabilidad de seguridad documentada por Microsoft en el boletín  MS17-010, liberado el pasado 17 de marzo del 2017. Esta vulnerabilidad afecta a los equipos que no tienen las últimas actualizaciones de seguridad.

En la mayoría de los casos la variante de Ransomware conocida como “WannaCry”, “WCry” o “Wanna Cryptor” está siendo distribuida por correo electrónico a través de correo spam.

Un grupo de hacker llamado “Shadow Brokers”, comentó que obtuvo la información de cómo aprovechar esta vulnerabilidad de los documentos del programa de espionaje de la NSA (National Security Agency). Esta vulnerabilidad permite el acceso a prácticamente cualquier equipo con sistema operativo Windows, que emplee algún protocolo de red para compartir archivos.

En la mayoría de los casos ocurridos, la infección comienza con un correo electrónico (phishing), el cual incluye una URL maliciosa o un archivo adjunto que al ser ejecutado infecta el equipo y de forma simultánea inicia la segunda fase con características de tipo gusano que permiten su propagación en la red interna.
Como colofón a esta pregunta comentaré que Eduard Snowden (analista de la NSA, escondido en Rusia) acusa como responsable último del ataque a la NSA.

¿Cómo se ha detenido el ataque?

Lo curioso es cómo se ha conseguido detener la propagación del ataque. Un investigador de ciberseguridad británico de 22 años, con la ayuda de Darien Huss, de la firma Proofpoint, han encontrado un "botón rojo" (kill switch) en el ransomware que lo detiene.

Se trata de una dirección web no registrada a la que el malware realizaba una petición, una .com con letras y números muy larga, casi críptica, y que terminaba en "gwea.com".

Si Wanna Cry no obtiene respuesta de esa web, se expande. Si se activa, se detiene. Por eso el investigador compró el dominio por unos 10 euros y con esto se detuvo el ataque original.

¿Cómo se pueden prevenir estas infecciones?

Ataque mundial actual

Desde mi punto de vista, este ataque (como han indicado varios expertos en seguridad) es un globo sonda para estudiar el estado de seguridad de las infraestructuras y calcular tiempos de reacción o una prueba de concepto de ataque global a Corporaciones.

Espero ataques mucho más potentes, en realidad este es un ataque pequeño, que realmente se transmite porque los usuarios no siguen las indicaciones de seguridad (borrar correos no solicitados, no descargar adjuntos, no ejecutar adjuntos…) y también que no tienen actualizados adecuadamente los sistemas, drivers ni programas ni obtienen los programas de forma segura.

Espero que sirva de toque de atención (en realidad alguien lo ha definido como una Gran campaña de concienciación en ciberseguridad con repercusión mediática. +100K infecciones en +100 países) para formar y concienciar a todos los usuarios que utilizan internet para que sigan estrictamente las normas de seguridad y tengan actualizados sus sistemas.

¿Quieres saber más? Aprende cómo protegerte y prevenir ataques cibernéticos con el curso de Ciberseguridad para Usuarios