En particular, la empresa española de telecomunicaciones Telefónica fue una de las víctimas, al igual que los hospitales de todo el Reino Unido. Según El Guardián, los ataques del Reino Unido afectaron al menos a 16 instalaciones del Sistema Nacional de Salud (NHS) y comprometieron directamente los sistemas de tecnología de la información (TI) que se utilizan para garantizar la seguridad del paciente.
Vídeos recomendados
avast
El ransomware WanaCryptOR, o WCry, se basa en una vulnerabilidad que se identificó en el protocolo de bloqueo de mensajes de Windows Server y se parchó en Martes de parches de marzo de 2017 de Microsoft
actualizaciones de seguridad, informa Kaspersky Labs. La primera versión de WCry se identificó en febrero y desde entonces se ha traducido a 28 idiomas diferentes.Microsoft ha respondido al ataque con su propia publicación en el blog de Seguridad de Windows, donde reforzó el mensaje de que las PC actualmente compatibles con Windows que ejecutan los últimos parches de seguridad están a salvo del malware. Además, Windows Defenders ya se había actualizado para brindar protección en tiempo real.
"El 12 de mayo de 2017 detectamos un nuevo ransomware que se propaga como un gusano aprovechando vulnerabilidades que han sido reparadas previamente", comenzaba el resumen del ataque de Microsoft. “Si bien las actualizaciones de seguridad se aplican automáticamente en la mayoría de las computadoras, algunos usuarios y empresas pueden retrasar la implementación de parches. Lamentablemente, el malware, conocido como WannaCrypt, parece haber afectado a ordenadores que no han aplicado el parche para estas vulnerabilidades. Mientras se desarrolla el ataque, recordamos a los usuarios que instalen MS17-010 si aún no lo han hecho”.
La declaración continúa: “La telemetría antimalware de Microsoft detectó inmediatamente signos de esta campaña. Nuestros sistemas expertos nos brindaron visibilidad y contexto de este nuevo ataque a medida que ocurrió, lo que permitió que Windows Defender Antivirus brindara defensa en tiempo real. Mediante análisis automatizados, aprendizaje automático y modelos predictivos, pudimos protegernos rápidamente contra este malware”.
Avast especuló además que el exploit subyacente fue robado del Equation Group, que se sospecha que está vinculado a la NSA, por un grupo de hackers que se hace llamar ShadowBrokers. El exploit se conoce como ETERNALBLUE y Microsoft lo denomina MS17-010.
Cuando ataca el malware, cambia el nombre de los archivos afectados para incluir una extensión “.WNCRY” y agrega un “¡WANACRY!” marcador al principio de cada archivo. También coloca su nota de rescate en un archivo de texto en la máquina de la víctima:
avast
Luego, el ransomware muestra su mensaje de rescate que exige entre $300 y $600 en moneda bitcoin y proporciona instrucciones sobre cómo pagar y luego recuperar los archivos cifrados. El lenguaje de las instrucciones de rescate es curiosamente casual y parece similar al que uno podría leer en una oferta para comprar un producto en línea. De hecho, los usuarios tienen tres días para pagar antes de que se duplique el rescate y siete días para pagar antes de que los archivos ya no sean recuperables.
avast
Curiosamente, el ataque fue frenado o potencialmente detenido por un "héroe accidental" simplemente al registrar un dominio web que estaba codificado en el código del ransomware. Si ese dominio respondiera a una solicitud del malware, entonces dejaría de infectar nuevos sistemas, actuando como una especie de "interruptor de apagado" que los ciberdelincuentes podrían utilizar para detener el ataque.
Como The Guardian señala, el investigador, conocido sólo como MalwareTech, registró el dominio por 10,69 dólares y no se dio cuenta en el momento de la desconexión, diciendo: "Estaba fuera Almorzando con un amigo y regresé alrededor de las 3 p.m. y vi una afluencia de artículos de noticias sobre el NHS y varias organizaciones del Reino Unido que estaban siendo golpear. Eché un vistazo a eso y luego encontré una muestra del malware detrás de él y vi que se estaba conectando a un dominio específico, que no estaba registrado. Así que lo cogí sin saber lo que hacía en ese momento”.
MalwareTech registró el dominio en nombre de su empresa, que rastrea botnets, y al principio fueron acusados de iniciar el ataque. “Al principio alguien había informado al revés que habíamos causado la infección al registrar el dominio, así que tuve Fue un pequeño pánico hasta que me di cuenta de que en realidad era al revés y lo habíamos detenido”, dijo MalwareTech a The Guardián.
Sin embargo, es probable que ese no sea el final del ataque, ya que los atacantes podrían alterar el código para omitir el interruptor de apagado. La única solución real es asegurarse de que las máquinas estén completamente parcheadas y estén ejecutando el software de protección contra malware adecuado. Si bien las máquinas con Windows son el objetivo de este ataque en particular, MacOS ha demostrado su propia vulnerabilidad Por lo tanto, los usuarios del sistema operativo de Apple también deben asegurarse de tomar las medidas adecuadas.
En una noticia mucho más brillante, ahora parece que existe una nueva herramienta que puede determinar la clave de cifrado utilizada por el ransomware en algunas máquinas y permitir a los usuarios recuperar sus datos. La nueva herramienta, llamada Wanakiwi, es similar a otra herramienta, quierokey, pero ofrece una interfaz más simple y potencialmente puede reparar máquinas que ejecutan más versiones de Windows. Como Informes de Ars Technica, Wanakiwi usa algunos trucos para recuperar los números primos utilizados en la creación de la clave de cifrado, básicamente extrayendo esos números de RAM si la máquina infectada permanece encendida y los datos aún no se han sobrescrito. Wanawiki aprovecha algunas "deficiencias" en la interfaz de programación de aplicaciones criptográficas de Microsoft que utilizó WannaCry y varias otras aplicaciones para crear claves de cifrado.
Según Benjamin Delpy, quien ayudó a desarrollar Wanakiwi, la herramienta se probó en varias máquinas con discos duros cifrados y logró descifrar varios de ellos. Windows Server 2003 y Windows 7 estuvieron entre las versiones probadas, y Delpy supone que Wanakiwi funcionará también con otras versiones. Como dice Delpy, los usuarios pueden “simplemente descargar Wanakiwi y, si la clave se puede construir nuevamente, la extrae, la reconstruye (una buena) y comienza a descifrar todos los archivos en el disco. Además, la clave que obtengo se puede utilizar con el descifrador de malware para descifrar archivos como si pagaras”.
La desventaja es que ni Wanakiwi ni Wannakey funcionan si el PC infectado se ha reiniciado o si el espacio de memoria que contiene los números primos ya se ha sobrescrito. Por lo tanto, definitivamente es una herramienta que debe descargarse y tenerse lista. Para mayor tranquilidad, cabe señalar que la empresa de seguridad Comae Technologies ayudó a desarrollar y probar Wanakiwi y puede verificar su eficacia.
Puede descarga Wanakiwi aquí. Simplemente descomprima la aplicación y ejecútela, y tenga en cuenta que Windows 10 se quejará de que la aplicación es un programa desconocido y deberá presionar "Más información" para permitir que se ejecute.
Mark Coppock/Tendencias digitales
El ransomware es uno de los peores tipos de malware, ya que ataca nuestra información y la encierra detrás de un cifrado fuerte a menos que paguemos dinero al atacante a cambio de una clave para desbloquearla. Hay algo personal en el ransomware que lo diferencia de los ataques aleatorios de malware que convierten nuestras PC en robots sin rostro.
La mejor manera de protegerse contra WCry es asegurarse de que su PC con Windows esté completamente parcheada con las últimas actualizaciones. Si ha seguido el programa del martes de parches de Microsoft y ha ejecutado al menos Windows Defender, entonces sus máquinas ya deberían estar protegido, aunque tener una copia de seguridad sin conexión de sus archivos más importantes que no puedan verse afectados por un ataque de este tipo es un paso importante para llevar. En el futuro, son los miles de máquinas que aún no han sido parcheadas las que seguirán sufriendo este ataque generalizado en particular.
Actualizado el 19 de mayo de 2017 por Mark Coppock: Se agregó información sobre la herramienta Wanakiwi.
Recomendaciones de los editores
- Los ataques de ransomware se han disparado enormemente. He aquí cómo mantenerse a salvo
- Los piratas informáticos se apuntan con ransomware que ataca a sus víctimas anteriores
