Visto: 635

WannaCry: el secuestrador de computadoras

Ratio: 0 / 5

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

El pasado 12 de mayo de 2017 se registró un ataque informático en todo el mundo que afectó a miles de computadoras de usuarios, empresas e instituciones gubernamentales.

El virus, llamado WannaCry (también llamado WannaCrypt), se propagó en máquinas con el sistema operativo Windows, de Microsoft, que no contaban con las últimas actualizaciones de seguridad.

El ciberataque utilizó un ransomware (virus que retiene el acceso a archivos hasta el pago de un rescate) para infectar a la fecha a más de 230 mil computadoras en 150 países. Algunas de las empresas más afectadas fueron Telefónica, Iberdrola, Gas Natural, FedEx, Renault y Nissan; también el sistema de ferrocarriles alemán, la institución de salud pública de Reino Unido, universidades estadounidenses, instituciones de gobierno de Rusia y cajeros automáticos chinos, entre muchos otros puntos.

A los afectados les aparece una ventana emergente, en la cual se les informa que sus datos han sido secuestrados y que se tiene que realizar un pago: un rescate en bitcoins equivalente a 300 dólares. El bitcoin es un medio elegido por los hackers porque es la moneda virtual más difícil de rastrear en comparación con los pagos convencionales, y no trabaja con entidades financieras.

La profesora y experta en temas de criptografía, seguridad y comunicaciones de la Universidad Pompeu Fabra, Vanesa Daza, dijo a la BBC que el empleo de bitcoins es clave: “El ransomware existe desde los años 80, pero estaba en desuso porque no había monedas que permitieran no ser rastreadas. Desde que apareció el bitcoin, este tipo de ataques se ha disparado”.

El código del virus fue escrito desde un principio con la intención de ocultar cualquier dato del autor, como el país o el idioma, por eso es muy difícil dar con los autores del ataque.

Los análisis previos sostienen que WannaCry usó la vulnerabilidad ETERNALBLUE, desarrollada por la Agencia de Seguridad Nacional (NSA por sus siglas en inglés) estadounidense y filtrada por el grupo "The Shadow Brokers", que permite atacar computadoras con Windows. Dicha vulnerabilidad fue detectada a principios de marzo, por lo que Microsoft comenzó a lanzar parches de seguridad al día siguiente de conocerse (10 de marzo de 2017), pero sólo para las versiones con soporte posteriores a Windows Vista (y como un parche por separado para Windows 8, Server 2003 y XP). Las computadoras que no habían aplicado las actualizaciones de seguridad que incluían la solución al problema MS17-010 en el sistema operativo Windows fueron secuestradas.

Microsoft responsabilizó a la NSA por lo sucedido. “El software malicioso usado en el ataque fue extraído de un software robado a la Agencia de Seguridad Nacional en Estados Unidos”, expuso el principal asesor legal de Microsoft, Brad Smith.

Un día después del ataque (13 de mayo) Marcus Hutchins, un informático inglés de 22 años, encontró una solución a este ataque masivo. MalwareTech (su seudónimo en redes sociales) encontró un fallo en WannaCry cuando infectó a propósito su propia computadora. “Pude conseguir una muestra del malware. Al ejecutarlo en mi entorno de análisis supe que llamaba a un dominio no registrado que finalizaba en gwea.com. Verifiqué que el dominio estuviera libre, lo compré por 10.69 dólares y redirigí el tráfico a un servidor de Los Ángeles”, contó MalwareTech a Daily Mail. Con este acto, el joven geek logró frenar el ataque y desviarlo, pero no eliminarlo.

Dmitry Bestuzhev, director del equipo de Investigación y Análisis para Kaspersky Lab América Latina, dijo el lunes 15 de mayo que México ya era el país más afectado en América Latina por WannaCry y el quinto a nivel global, después de Rusia, Ucrania, China e India. Se esperaba que ese lunes habría un segundo ataque mundial del ransomware, y sí lo hubo, pero no tuvo los alcances catastróficos esperados.

La Comisión Nacional de Seguridad (CNS) en México, a través de la División Científica de la Policía Federal (PF), dijo el 15 de mayo que ya está puesto en marcha un plan de acciones tras el ataque cibernético. Reconoció que hasta este momento se han identificado oficialmente cuatro casos de la infección del ransomware en equipos de cómputo del sector privado, entre ellos Nissan México, pero no ha habido informes de otros nombres de compañías o instituciones.

Dmitry Bestuzhev calcula que las pérdidas monetarias por el ciberataque ascienden a más de 62,000 dólares, cifra que sigue en constante crecimiento. Tan sólo una de las tres direcciones utilizadas por los atacantes, ya ha recibido 77 pagos equivalentes a 23,100 dólares. La razón por la cual hubo un incremento del virus el lunes 15 de mayo, explicó el especialista, fue porque algunas empresas reactivaron sus actividades ese día. Medios de comunicación globales publicaron nuevos casos de WannaCry especialmente en Corea del Sur, Australia, Nueva Zelanda, Japón (Nissan y Hitachi) y China (PetroChina).

También el 15 de mayo la agencia AFP informó que investigadores en asuntos de espionaje y seguridad en internet reportaron que había señales de un potencial vínculo de Corea del Norte con los ciberataques que causó WannaCry.

El investigador de Google, Neel Mehta, divulgó el código de una computadora que mostraba similitudes entre el virus WannaCry y un vasto intento de pirateo ampliamente atribuido a Pyongyang. Pese a que no es concluyente, expertos abrazaron rápidamente la posibilidad de que Corea del Norte podría haber estado detrás de los rescates virtuales.

Kaspersky agregó, por otro lado, que las similitudes del código apuntan a un grupo de hackers conocido como “Lazarus”, que se cree que estuvo detrás del ataque de 2014 contra Sony Pictures y que también es sospechoso de actos de piratería contra el Banco Central de Bangladesh y otros al sistema financiero global.

Los expertos dan algunas recomendaciones para no ser víctima de un ransomware, las cuales se han dado por muchos años: no abrir anexos desconocidos de correos electrónicos, no activar los ejecutables, mantener actualizados los sistemas operativos y los navegadores, así como contar con antivirus al día y mantener siempre toda la información respaldada. “Esto es un llamado de atención para los gobiernos y organizaciones coleccionistas de vulnerabilidades informáticas”, dijo Microsoft después del ataque.

En MAPS trabajamos con empresas especializadas en seguridad como la recién ingresada al grupo: Malwarebytes, expertos en tecnología para protección endpoint. ESET que ha creado un sencillo script para verificar si un equipo está protegido, disponible en GitHub. Proofpoint que a través de su investigador Darien Huss jugó un papel fundamental en identificar y detener la propagación del ransomware; y con apoyo de su equipo de operaciones de amenazas crearon un valioso documento con recomendaciones a seguir, así como una guía de supervivencia para este tipo de ataques cibernéticos.

Finalmente, como parte de la respuesta por parte de Microsoft, ha compartido a través de diversos medios un enlace en donde ofrece diversas opciones para vacunar los equipos contra WannaCry dependiendo de la versión del sistema operativo que se tenga: http://www.catalog.update.microsoft.com/home.aspx