¿Qué es el ransomware “WannaCry”?

Durante el pasado viernes 12 de mayo, un programa maligno atacó a las principales empresas de medio mundo, incluidas, algunas de las españolas cotizadas en el IBEX35.

Seguro que no hace falta que os refresque la memoria. Sucedió el pasado viernes 12 de mayo. El ciberataque a escala mundial se produjo mediante la combinación de un ataque de un gusano junto con un ransomware llamado WannaCry.

El ataque se desplegó de forma simultánea y global, afectando así a multitud de países y empresas. Sin que se puedan contabilizar de manera exacta las empresas afectadas por este ciberataque, se estima que millares de empresas de más de 150 países sufrieron las consecuencias de dicho ataque, siendo España uno de los más afectados por dicho ataque. ¿Qué empresa española está en el segundo puesto de las más afectadas por dicho ataque? Efectivamente, has acertado: Telefónica.

El ciberataque fue una combinación de un gusano, procedente del código filtrado por Shadow Brokers del exploit EternalBlue desarrollado por la NSA (National Security Agency de EEUU), junto con el ransomware WannaCry.

Todo parece indicar que el punto de entrada de este programa maligno ha sido un correo electrónico que incluía un archivo adjunto. Si a esta situación le sumas la actuación de un usuario poco informado y que abriera el archivo en cuestión, tenemos la clave de la infección del ordenador.

¿Puede un solo usuario tumbar toda una empresa? Para entenderlo, hay que tener en cuenta que el gusano explota una vulnerabilidad de Windows para infectar otros ordenadores que estuvieran en la misma red local que la máquina afectada. ¿Qué se consigue con esto? Una velocidad de propagación altísima.

La vulnerabilidad de Windows utilizada por esta versión de WannaCry se conoce como EternalBlue. Ésta ataca el protocolo de ficheros SMB de Windows. La vulnerabilidad fue anunciada y corregida por Microsoft el 14 de Marzo de 2017 con el nombre MS17–010. El 14 de Abril de 2014, Shadow Brokers filtró la información relativa a un exploit desarrollado por la NSA para poder aprovechar dicha vulnerabilidad.

Según informa la consultora S21Sec en un informe ejecutivo sobre el ataque, el impacto que ha tenido este virus se podría vincular a diferentes causas:

  1. Problemas de formación de los recursos humanos. Una correcta formación evitaría la apertura de ficheros de remitentes “sospechosos”.
  2. La lenta velocidad de respuesta por parte de las empresas a la hora de aplicar los parches y correcciones que solventan las vulnerabilidades conocidas.
  3. Potencial de las empresas en detectar que están siendo atacados.

Según la consultora, las empresas que tienen esos tres ámbitos bien cubiertos, se encuentran en una situación aventajada frente a otras. Si bien no existe la protección total, la mejora en estos aspectos sería clave para reducir el nivel de impacto de los ataques.

¿Cómo es un ataque del Ransomware WannaCry?

Una vez que la máquina está infectada por el gusano, éste extrae un payload con el ransomware WannaCry. Éste es un tipo de amenaza que cifra los archivos de la máquina infectada, solicitando un rescate económico, normalmente en la criptomoneda Bitcoins.

En esta versión del virus, el cifrado de los archivos continúa tras la aparición del mensaje de extorsión, al contrario que otros ataques por RansomWare en el que no se muestra el mensaje hasta que no se completa el cifrado, por ello, algunos departamentos de seguridad de empresas procedieron a ordenar el apagado de los ordenadores.

Según los sistemas de vigilancia digital de S21sec, la primera referencia a este código malicioso aparece en Twitter el 11 de febrero de 2017, generada por un perfil canadiense (@RemovethreatPC) que tiene como objetivo la difusión de noticias relacionadas con diferentes virus y cómo afrontarlos.

El ataque no parece dirigido contra una empresa o país específico, pues ha afectado a multitud de sectores y en diversos países con lo que, desde S21sec entienden que el fin del ataque ha sido económico.

Si a estas alturas te preguntas si el impacto del ataque hubiera sido menor si las empresas utilizaran Mac en vez de Windows, en Applesfera hablan de ello.

Fuente de la noticia: Informe ejecutivo RansomWare de S21sec.