WannaCry y el ciberataque explicado paso a paso

  • WannaCry intenta distribuirse por la red hacia otros ordenadores como un gusano
  • El Instituto Nacional de Ciberseguridad aconseja actualizar Windows con el parche correspondiente de Microsoft

Hace unos días comenzaba la infección del troyano cifrador WannaCry, algo parecido a una pandemia global que ha infectado a miles de ordenadores en todo el mundo. Se están produciendo  unos 45.000 ataques al día, los últimos en China, de forma que WannaCry afecta ya a más de 200.000 equipos en 150 países.

Desde Reason Why hemos creado un Especial sobre Seguridad Digital para abordar los principales temas relacionados con ciberdelincuencia, recuperación de datos, antivirus y seguridad informática en general. En esta ocasión hablamos del ciberataque explicado paso a paso.

Los ciberdelincuentes han aprovechado un agujero de seguridad

¿Dónde está el origen de la infección?

Los ciberdelincuentes han aprovechado un agujero de seguridad que apareció en Windows el pasado mes de marzo.

Así, los creadores de WannaCry han utilizado el agujero de Windows, conocido como EternalBlue, que Microsoft parcheó con la actualización de software MS17-010 el 14 de marzo. Pero mediante el agujero de seguridad, “los malos” han tenido acceso remoto a los ordenadores para instalar el ransomware WannaCry.

-Haz clic para ampliar la imagen-

 

¿Cómo fueron las primeras horas?

El pasado viernes 12 de mayo un gran número de entidades informaron simultáneamente de una infección. Entre ellas había hospitales británicos, que tuvieron que suspender su actividad, y empresas españolas, como Telefónica, Iberdrola o Gas Natural.

El mayor número de ataques se produjo en Rusia, pero Ucrania, la India y Taiwán también han sufrido daños. Durante el primer día del ataque WannaCry llegaba a 74 países.

 

 

¿Por qué se ha propagado tanto?

Nos decía Rosa Díaz, Directora de Panda Security en España, que WannaCry es un virus que no habían visto hasta ahora. “Al principio no encontrábamos un adjetivo para clasificarlo”. Y es que WannaCry viene en dos piezas.

  • La primera es un exploit que se encarga de la infección y de la propagación
  • La segunda es un cifrador que se descarga en un ordenador después de ser infectado

La primera pieza es la que supone la gran diferencia entre WannaCry y la mayoría de cifradores. Para infectar un ordenador con un cifrador normal, el usuario debe cometer un error, como hacer clic en un enlace sospechoso o descargar un adjunto malicioso de un correo electrónico. Un sistema puede ser infectado con WannaCry sin que el usuario haga nada”.

Cuando WannaCry encuentra un dispositivo que es vulnerable, lo ataca y cifra sus archivos

Además, aunque Microsoft parcheara el agujero de seguridad en Windows, parchear la vulnerabilidad no detiene del todo al cifrador. Si el usuario lo abre, es decir, si comete un error, el parche no sirve de nada.

Después de hackear un ordenador, WannaCry intenta distribuirse por toda la red local hacia otros ordenadores como un gusano. El cifrador busca la vulnerabilidad EternalBlue en otros ordenadores y, cuando WannaCry encuentra un dispositivo que es vulnerable, lo ataca y cifra sus archivos.

Quizá te interese... Qué consecuencias puede tener un ciberataque para tu empresa

De ahí que las grandes empresas hayan sido las que más han sufrido por el ataque de WannaCry: a más ordenadores en la red, mayor puede ser el daño. Aunque las pequeñas empresas también pueden sufrir este tipo de infecciones.

¿Qué pasa cuando un ordenador se infecta?

Según informa Kaspersky Lab, WannaCry cifra diferentes tipos de archivos, incluyendo los documentos de Office, imágenes, vídeos y otros archivos que puedan contener información copnfidencial. Las extensiones de los archivos cifrados se renombran a .WCRY y se vuelven del todo inaccesibles.

A continuación el troyano cambia el fondo de pantalla del ordenador con una imagen que contiene la información sobre la infección y las acciones que se supone que el usuario debe llevar a cabo para recuperar los archivos.

 

 

Como suele pasar en estos casos de infección, una de las acciones que se le reclaman al usuario es transferir cierta cantidad de dinero en bitcoins a los hackers para poder descifrar todos los archivos. En un principio pedían 300 dólares, pero luego subieron el rescate a 600 dólares.

Desde Kaspersky Lab no recomiendan el pago del rescate. “No hay garantías de que los delincuentes vayan a descifrar tus archivos tras recibir el pago. De hecho, los investigadores han demostrado en otras ocasiones que los ciberextorsionistas simplemente borraron los archivos de los usuarios”.

Un informático de 22 años logró frenar la infección

¿Cómo se logró frenar la infección?

Un informático británico de 22 años, conocido por su perfil de Twitter @MalwareTechBlog, frenó el virus al registrar una dirección de Internet a la que el software malicioso trataba de conectarse antes de activarse. Es el famoso dominio www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Si el virus puede conectarse a él, deja de infectar. Si no, sigue.

También puede interesarte... Seguridad informática: la profesión del futuro

Tras encontrar la referencia a este dominio en el código del troyano, @MalwareTechBlog registró el dominio y frenó el ataque. El dominio tuvo miles de peticiones, lo que significa que miles de ordenadores se salvaron. Y así ganó un tiempo muy valioso para que las organizaciones pudieran establecer cortafuegos, sobre todo en Estados Unidos.

De todas formas, en las nuevas versiones de WannaCry lo que tendrán que hacer todos los ciberdelincuentes es cambiar el nombre del dominio y las infecciones continuarán. Por lo que es muy probable que el brote de WannaCry continúe estos días.

¿Qué debo hacer para protegerme?

Desde el Instituto Nacional de Ciberseguridad recuerdan que el virus se propaga a través de un agujero en los sistemas operativos de Windows y aconsejan (al igual que todos los organismos homólogos) actualizarlo con el parche correspondiente de Microsoft.

¿Debo tener un antivirus para Mac?

Además, puedes seguir estos consejos para prevenir infecciones en tus equipos. Y no te preocupes, porque siempre es posible recuperar archivos de tu ordenador o de cualquier otro dispositivo de almacenamiento.