Ciberataque mundial con el ransomware Wanna Cry

Autor: Juan Carlos Montejo

Desde el viernes 12 de mayo de 2017 asistimos a un ciberataque a nivel global, con el ransomware Wanna cry.

Voy a intentar explicar conceptos relacionados con este virus y este ataque a través de preguntas y respuestas.

¿Qué es un virus ransomware?

Es un módulo maligno cuya principal función es cifrar los archivos de nuestro sistema Windows con criptografía fuerte.


¿Qué importancia tiene que este proceso se haga con criptografía fuerte?

Esto permite que si no se tiene la clave (privada) de descifrado, no es posible por ningún otro medio recuperar los archivos originales.

¿Qué necesita el ciberdelincuente para poder atacar?

  • Ingeniería social. El eslabón más débil de la empresa, en lo que a ciberseguridad se refiere, es el empleado. Los ataques de ingeniería social se basan en engañarles para que faciliten un ciberataque. Una de las formas más populares de hacerlo es falsificando una web, por ejemplo la de una entidad bancaria. Al creer que están en un sitio de confianza, el usuario no dudará en escribir sus claves de acceso, que quedarán en manos del ciberdelincuente. Hay varias herramientas en internet que permiten crear una página falsa en cuestión de minutos.
  • Conseguir una lista de contactos a la que atacar. Con una simple búsqueda en Google, cualquier persona puede encontrar listas de correo a diferentes precios, que contienen direcciones de correos de los trabajadores de muchas empresas, incluso de sus CEOs.
  • Contratar un servicio que envíe el correo malicioso. Existen grupos de hackers que se encargan de enviar el ataque a la lista de contactos previamente adquirida. Ofrecen lanzarlo desde dominios aparentemente legítimos, y que no sean bloqueados por el filtro antispam del cliente de correo electrónico de la víctima.

¿Cómo se produce la infección?

Habitualmente se produce al recibir por correo electrónico u otro medio digital, un programa cifrado, simulando ser otra cosa, que al ejecutarse descifra el código dañino y cifra nuestros archivos.

¿Cómo se transmiten estos virus?

Estos virus buscan a través de la red todas las unidades disponibles y cifran todos los archivos de ciertos tipos (documentos, hojas de cálculo, bases de datos, etc.) procurando que el sistema siga en funcionamiento, aunque a veces lo dejan bloqueado con la pantalla de aviso de infección.

¿Qué piden los piratas creadores del virus?

Piden un pago en bitcoins, moneda digital de muy difícil rastreo, y con un gran valor en este momento (sobrepasa los 1000$ cada bitcoin a día de hoy).

¿Qué está sucediendo?

El ataque se aprovecha de una vulnerabilidad de seguridad documentada por Microsoft en el boletín  MS17-010, liberado el pasado 17 de marzo del 2017. Esta vulnerabilidad afecta a los equipos que no tienen las últimas actualizaciones de seguridad.

En la mayoría de los casos la variante de Ransomware conocida como “WannaCry”, “WCry” o “Wanna Cryptor” está siendo distribuida por correo electrónico a través de correo spam.

Un grupo de hacker llamado “Shadow Brokers”, comentó que obtuvo la información de cómo aprovechar esta vulnerabilidad de los documentos del programa de espionaje de la NSA (National Security Agency). Esta vulnerabilidad permite el acceso a prácticamente cualquier equipo con sistema operativo Windows, que emplee algún protocolo de red para compartir archivos.

En la mayoría de los casos ocurridos, la infección comienza con un correo electrónico (phishing), el cual incluye una URL maliciosa o un archivo adjunto que al ser ejecutado infecta el equipo y de forma simultánea inicia la segunda fase con características de tipo gusano que permiten su propagación en la red interna.
Como colofón a esta pregunta comentaré que Eduard Snowden (analista de la NSA, escondido en Rusia) acusa como responsable último del ataque a la NSA.

¿Cómo se ha detenido el ataque?

Lo curioso es cómo se ha conseguido detener la propagación del ataque. Un investigador de ciberseguridad británico de 22 años (@Malwaretechblog en Twitter), con la ayuda de Darien Huss, de la firma Proofpoint, han encontrado un "botón rojo" (kill switch) en el ransomware que lo detiene.

Se trata de una dirección web no registrada a la que el malware realizaba una petición, una .com con letras y números muy larga, casi críptica, y que terminaba en "gwea.com" ( concretamente es http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com).

Si Wanna Cry no obtiene respuesta de esa web, se expande. Si se activa, se detiene. Por eso el investigador compró el dominio por unos 10 euros y con esto se detuvo el ataque original.

¿Cómo se pueden prevenir estas infecciones?

  • La primera medida es tener el sistema operativo Windows actualizado. También puedes plantearte pasar a una distribución Linux, como Linux Mint, LXLE o la considerada como la mejor distribución Linux en el año 2017 para el escritorio: Elementary OS.
  • También debes tener actualizados los drivers del sistema y, por supuesto, los programas, sobre todo el navegador y si tienes cliente de correo.
  • Debes tener un antivirus (me suelo decantar por Avast o Avira pero esta infección concreta –Wanna Cry- parece que la detectaban unos pocos antivirus, entre ellos Kaspersky), un cortafuegos (a partir de Windows 7 puede ser suficiente el que viene incluido con el sistema, aunque siempre puedes optar por Comodo o PrivateFirewall), uno o varios antiespías (SpyBot, Malwarebytes y Spywareblaster pueden ser útiles) y, para finalizar, deberíamos añadir una de las múltiples herramientas antiransomware que han surgido como las setas.
  • El CCN-CERT ha liberado recientemente una herramienta, disponible aquí, específica para el virus Wanna Cry.
  • Haz periódicamente copias de seguridad de tus datos, ya que también tu disco duro va a fallar.
  • Existen listas de comprobación de seguridad para usuarios domésticos, que deberías tener en cuenta.

Ataque mundial actual

Desde mi punto de vista, este ataque (como han indicado varios expertos en seguridad) es un globo sonda para estudiar el estado de seguridad de las infraestructuras y calcular tiempos de reacción o una prueba de concepto de ataque global a Corporaciones.

Espero ataques mucho más potentes, en realidad este es un ataque pequeño, que realmente se transmite porque los usuarios no siguen las indicaciones de seguridad (borrar correos no solicitados, no descargar adjuntos, no ejecutar adjuntos…) y también que no tienen actualizados adecuadamente los sistemas, drivers ni programas ni obtienen los programas de forma segura.

Espero que sirva de toque de atención (en realidad alguien lo ha definido como una Gran campaña de concienciación en ciberseguridad con repercusión mediática. +100K infecciones en +100 países) para formar y concienciar a todos los usuarios que utilizan internet para que sigan estrictamente las normas de seguridad y tengan actualizados sus sistemas.

 

Referencias
Mapa interactivo para ver en tiempo real el ataque Wanna Cry
Mapa de infecciones mundial
Infografía de cómo funciona un ataque Cryptoware
Microsoft lanza un parche para Windows XP que protege al viejo sistema del ransomware WannaCrypt
En los primeros momentos…
Cuando el miedo a lo desconocido pasa absurdamente a pánico injustificado
¿Sabías que el 30% de los españoles ha sufrido un ciberataque en los últimos 6 meses?
Comunicado del Departamento de Seguridad Nacional
Ver ‘en vivo’ Monederos en Blockchain: cómo van cobrando los piratas (el crimen no renta)
Parche de Microsoft (fijarse en la fecha…)
Expertos abonan la teoría del ataque como prueba de concepto al haber un ‘kill switch’
El 'ransomware', la principal ciberamenaza para las empresas
Análisis técnico del ataque de Wanna Cry

Suscribete a nuestro boletín

Recibirás información detallada de nuestras ofertas, noticias, etc.

Este sitio web utiliza cookies de terceros con la finalidad de analizar el uso que hace de nuestra web y personalizar el contenido de los anuncios. Si continúa navegando entendemos que acepta su uso. Más información