Especiales, Noticias

El virus Wanna Cry

Desde hace unos días, no se habla de otra cosa y como os adelantaba ayer en la noticia sobre el secuestro de Piratas del Caribe, hoy os traigo un macro post sobre este ataque cibernético que se dio el pasado 12 de mayo y que ha tenido en alerta a las principales empresas del mundo.

¿Qué es Wanna Cry?

Wanna Cry es otro ransomware. Un tipo de virus, del formato troyano, con la capacidad de introducirse en nuestro equipo explotando una vulnerabilidad de software.

El ransomware tiene como objetivo cifrar los archivos del equipo infectado para pedir un rescate vía BitCoins. Para que el proceso de encriptación sea más rápido solo encripta aquellos ficheros más críticos del usuario (doc, jpg, pdf) evitando encriptar archivos del sistema, para mayor velocidad.

La misión de Wanna Cry no es eliminar ni robar datos, sino encriptar tus datos personales y pedir un rescate si quieres recuperarlos. En este caso Wanna Cry pide unos 300$ en BitCoins por cada ordenador infectado.

¿Cómo funciona Wanna Cry?

El esquema de funcionamiento del ataque de Wanna Cry:

  • Infección: Spam masivo a direcciones de correo electrónico con un enlace de descarga del dropper (el que descargar el payload) o explotación de servicio vulnerable expuesto a Internet o conexión de equipo infectado a la red local.
  • Cuando se descarga el archivo adjunto (dropper)  se infecta el equipo con Wanna Cry.
  • Propagación: Desde el ordenador infectado se rastrea la red LAN en busca de equipos con la vulnerabilidad MS17-10  para propagar la infección.

Cronología de Wanna Cry

Afecta ya a más de 230.000 equipos en 179 países según los datos de Europol.

Viernes, 12 de mayo: se informa de un ciberataque en Telefónica

  • La primera señal del virus llega desde la sede de la operadora española Telefónica. Sus empleados confirmaron a diversos medios que la dirección les solicitó apagar de inmediato los equipos informáticos: su red interna había sido comprometida.
  • Las primeras informaciones señalaban sólo el último punto de la cadena, un programa que secuestraba los ficheros de la máquina víctima y solicitaba un rescate económico, a pagar en bitcoins, para recuperarlos. Pronto se detectó que ese ejecutable era distribuido a través de un gusano informático que aprovechaba una vulnerabilidad que almacenaba la NSA, que Shadow Brokers filtró y que Microsoft parcheó.
  • El Centro Criptológico Nacional publicó rápidamente un comunicado alertando de la situación y aclarando conceptos básicos sobre el ataque. El pánico comenzó a sembrarse en las organizaciones y empresas españolas, que negaron cualquier incidencia pese a que se han confirmado ya más de 1.000 casos en España.
  • Telefónica, ante la tormenta mediática, publicó un escueto comunicado.

El virus se propaga

  • La infección comenzó a propagarse sin control y se informó de los primeros casos dentro de al menos 16 hospitales de Reino Unido. El fenómeno se convirtió en global. Theresa May, la primera ministra, aseguró que “no ha sido un ataque expresamente dirigido contra el Servicio Nacional de Salud” y recalcado que “no hay indicios de que la información de los pacientes se haya comprometido”.
  • También llego a Estados Unidos. La compañía FedEx realizó un comunicado en el que confirmó que sus sistemas estaban experimentando interferencias debido al “malware”. Los empleados, a través de redes sociales y Reddit, comentaron cómo la infección había detenido numerosas cintas claves para la entrega de pedidos.
  • Expertos de ciberseguridad independientes de todo el mundo comenzaron a investigar los entresijos y enigmas del ataque. Las grandes compañías de seguridad alertaban de un número alarmante de infecciones que seguía aumentando exponencialmente.
  • Pronto se confirmó que el “ransomware” era sólo una parte del ciberataque, un ejecutable portable que cifraba los ficheros a cambio de un rescate. La infección se propagaba a través de un gusano informático que explota una vulnerabilidad en el protocolo para compartir en red Samba.
  • La vulnerabilidad fue explotada por la NSA para sus propios fines. Shadow Brokers logró acceder a su documentación y lo filtró con la ayuda de Wikileaks como altavoz. Los cibercriminales detrás de este ataque masivo usaron esta información.
  • El joven británico conocido por el pseudónimo “MalwareTech” se convirtió en el héroe de la noche deteniendo la propagación del virus. El investigador descubrió que la propagación podía ser detenida al controlar el servidor al que llama el programa malicioso. Así fue, por apenas 10 dólares, MalwareTech logró activar el “kill switch”; el botón de apagado de emergencia del ciberataque masivo.
  • Este interruptor pude interpretarse como un fallo en el ataque, aunque la hipótesis que cobra más fuerza ahora mismo es la de que los delincuentes lo hicieron a propósito para controlar su propagación o como un simple experimento. La forma tan “amateur” de enviar el dinero a carteras de bitcoins aumenta el valor de ésta.

Sábado, 13 de mayo: el ciberataque siguió arrasando

  • El fabricante de vehículos francés Renault, la japonesa Nissan y el Ministerio de Interior ruso se vieron afectados. El virus ya se había propagado por un centenar de países afectando a más de 90.000 equipos, según las compañías de seguridad informática.
  • Microsoft, en una maniobra inaudita, decidió publicar un parche para solventar la vulnerabilidad en Samba para sistemas operativos ya no soportados como Windows XP.
  • El ataque dejó en evidencia a las compañías y organizaciones que no instalaron un parche de seguridad crítico publicado dos meses antes de la expansión del ataque.
  • Algunas empresas, como Telefónica, se escudaron en la importancia que tiene asegurar que un parche no interrumpa el funcionamiento de los equipos y negocios. Chema Alonso dio su versión en su blog.

Domingo, 14 de mayo: Microsoft denuncia el rol de los gobiernos en los ciberataques

Lunes, 15 de mayo: China detecta una nueva mutación del virus

  • China descubrió una nueva versión del virus que se ha saltado las medidas de seguridad implantadas tras el primer ataque.
  • Europol aumentó el número de víctimas hasta los 230.000 en 179 países.
  • Investigadores independientes hallaron similitudes entre el “ransomware” y los códigos que ha empleado el grupo de cibercriminales Lazarous Group vinculado con Corea del Norte. Todo parte de un enigmático tuit publicaco por un ingeniero de seguridad de Google. Symantec y Kaspersky hallaron estas similitudes, y aunque no pueden certificar la autoría del grupo, creen que es suficiente para abrir una investigación más profunda.

¿Porque hay tantas empresas afectadas?

Gran parte de las empresas afectadas por Wanna Cry ha sido debido a la falta de actualización de los equipos. Pero, ¿por qué empresas como Telefónica no tienen las últimas actualizaciones de Windows? Esto es debido a que muchas de las grandes empresas usan software desarrollado a medida y cada actualización o parche debe ser probada con anterioridad, para asegurar su funcionamiento. El proceso de verificación y prueba de los parches no es tan rápido en empresas grandes dado el volumen de software a testear y de la sensibilidad para la continuidad del negocio.

¿Quién puede estar detrás de Wanna Cry?

Investigadores de seguridad de diversas empresas han estudiado el código y creen que este ciberataque masivo podría proceder de Corea del Norte.

Esa teoría se basa en el hecho de que WannaCry comparte código con el malware desarrollado por un grupo de crackers norcoreanos llamado Lazarus Group. Aunque eso haya ocurrido, esa no es una prueba definitiva de que el ataque haya procedido de allí, y de hecho cualquier cracker podría haber hecho lo mismo desde cualquier parte del mundo.

En el estudio de su funcionamiento se ha descubierto que el código hay partes que ya se utilizaron en el código de un backdoor llamado Contopee desarrollado por Lazarus Group en 2015

Expertos en seguridad como Matt Suiche, fundador de Comaeio, explicaba en dos artículos en el blog de su empresa cómo el descubrimiento inicial de Neel Mehta, investigador en Google, estaba justificado. Al decompilar el código de WannaCry y de Contopee se podía ver cómo el funcionamiento del código era idéntico en parte de ambos malwares.

Esa conexión con Lazarus Group justificaría que el ataque procediese de Corea del Norte, algo a lo que se suma el hecho de que como indicaba Suiche, “su narrativa en el pasado ha estado dominada por la infiltración en instituciones financieras con el objetivo de robar dinero”. El Symantec Security Response precisamente hablaba de ese malware hace un año.

Mientras tanto siguen los procesos que tratan de descubrir esa autoría y que por supuesto tratan de frenar definitivamente a un ransomware que ciertamente podría provenir de Corea del Norte. Habrá que esperar para saber si Lazarus Group dice algo al respecto, pero por el momento conviene ser cautos: ese código compartido existe, pero esa evidencia no es aún concluyente.

De hecho como indicanban en Cyberscoop “el código compartido no es lo mismo que la atribución. El código puede ser escrito y borrado por cualquiera, y el código compartido se reutiliza a menudo”. Esa práctica es tan común entre desarrolladores y desarrollos convencionales como entre aquellos dedicados al mundo de la seguridad informática, tanto para bien como (y aquí tenemos un buen ejemplo) para mal.

El propio Suiche afirmaba que “la atribución se puede falsificar siempre, porque solo es cuestión de mover algunos bytes de un lado a otro”. Los investigadores de Kaspersky Labs que también estudiaron esas similitudes en el código indicaban que “se necesita investigar más sobre el código de las primeras versiones de WannaCry”.

En Symantec coinciden en esas valoraciones sobre lo poco definitivo que es ese descubrimiento: “aunque la conexión existe, por el momento solo representa una conexión débil. Seguiremos investigando para [encontrar] conexiones más sólidas”.

Recaudación

Hay una cuenta de Twitter llamada Actual Ransom, gestionada por un bot creado por el medio Quartz, que tuitea en tiempo real la última hora de los pagos hechos en forma de bitcoins a los creadores del ransomware. En el momento de escribir este artículo, el malware ya lleva recaudados más de 82.500 dólares de las empresas afectadas.

Y según se ha publicado en Reddit, el balance de los pagos lleva una clara tendencia al alza desde el pasado viernes, con un espectacular repunte que se lleva produciendo desde el lunes por la mañana:

1024_2000

¿Me puedo infectar?

Posibilidades hay, pero es difícil que Wanna Cry llegue a los ordenadores personales. Pero, ¡eh! No respires tranquilo aún: si no es Wanna Cry, será otro.

Hay muchos ransomware  de este estilo pululando por internet con nombres desconocidos para el público. Si os fijáis, yo procuro avisar cuando se tiene noticias de ataques a particulares a nivel masivo, así que no bajes la guardia.

Al parecer, los pagos se realizan a tres carteras digitales distintas. Estas carteras estaban embebidas en el código de WannaCry, lo que para Keith Collins, el editor de Quartz que ha creado el bot y que escribe en el hilo de Reddit como keeferc, es un mal movimiento.

 

¿Cómo podemos evitar una infección ransomware ?

Wanna Cry (o cualquier otro) entra en nuestro ordenador a través de nuestro gestor de correos Outlook, oculto en correos de índole sospechosa.

 

Por lo tanto, evitar abrir correos de origen desconocido, con archivos adjuntos.

También es recomendable realizar los siguientes pasos:

  • Actualizar todos los ordenadores con los últimos parches de seguridad de Windows.
  • No abrir ficheros, adjuntos o enlaces de correos electrónicos no confiables, ni contestar a este tipo de correos.
  • Precaución al clicar enlaces en correos, mensajería instantánea y redes sociales, aunque sean de contactos conocidos.
  • Instalar herramientas antivirus/antimalware y activar el firewall.
  • Tener copias de seguridad externalizadas de nuestra información, ya que las copias de seguridad dentro del propio ordenador pueden verse también afectadas.
  • Si el equipo está en red y comparte una unidad con otro equipo, desconectar rápidamente el ordenador de la red, para impedir una propagación rápida del virus.

¿Puedo recuperar los datos encriptados? ¿Pago el “rescate”?

Los datos son prácticamente indescrifables sin la clave de encriptación. Pagar el rescate para que nos entreguen la clave de desencriptación no suele ser garantía de éxito, no solo no recibiremos la clave sino que disminuirá nuestra cuenta bancaria. Pagar el rescate solo promueve y motiva a los creadores de estos virus.

1 comentario en “El virus Wanna Cry”

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s