3 Cosas cruciales que debe saber sobre el ataque de WannaCry Ransomware

Los ataques de Ransomware, con el nombre de WannaCry, fueron reportados en todo el mundo por expertos en seguridad cibernética el viernes y se han emitido múltiples advertencias que implican un aumento de las medidas de seguridad en los dispositivos conectados a la web, ya que se espera que esta semana se produzca una segunda ola de ataques.

Los ataques de ransomware – un truco de hacker de una década de antigüedad – han golpeado principalmente a Rusia, Ucrania, España, el Reino Unido y la España.

Otros países como EE.UU., Brasil, China, entre otros de América del Norte, América Latina, Europa y Asia se han visto afectados por el ataque de ransomware.

El ransomware cifra los archivos en un dispositivo utilizando la extensión .wcry y se inicia mediante una ejecución remota de código SMBv2 (Server Message Block Version 2).

Lea también: ¿Qué es Ransomware y cómo protegerse contra él? y ¿Son los teléfonos inteligentes vulnerables al ataque de WannaCry Ransomware?

El equipo de Investigación y Análisis Global de Kaspersky Lab señaló que «los ordenadores Windows no parcheados que exponen sus servicios SMB pueden ser atacados remotamente» y que «esta vulnerabilidad parece ser el factor más significativo que causó el brote».

El grupo de hackers Shadow Brokers es el responsable de que el software malicioso para llevar a cabo este ataque esté disponible en Internet el 14 de abril.

¿Qué tan extendido está el ataque?

El impacto total de este ataque es aún desconocido, ya que los expertos en seguridad cibernética esperan que las olas adicionales del ataque afecten a más sistemas.

Según un informe del New York Times, el ataque ha tomado el control de más de 200.000 ordenadores en más de 150 países.

Empresas y organismos gubernamentales como los ministerios rusos, FedEx, Deutsche Bahn (Alemania), Telefónica (España), Renault (Francia), Qihoo (China) y el Servicio Nacional de Salud del Reino Unido se han visto afectados.

El Equipo Español de Respuesta a Emergencias Informáticas (CCN-CERT) también ha pedido una alerta alta en el país, ya que dice que las organizaciones podrían haber sido afectadas por el software de rescate.

«El malicioso software WannaCrypt se extendió rápidamente por todo el mundo y se extrae de las hazañas robadas a la NSA en los Estados Unidos. Microsoft había lanzado una actualización de seguridad para parchear esta vulnerabilidad, pero muchos equipos seguían sin parchear en todo el mundo», declaró Microsoft.

Los siguientes programas han sido afectados hasta ahora:

  • Windows Server 2008 para sistemas de 32 bits
  • Windows Server 2008 para sistemas de 32 bits service pack 2
  • Windows Server 2008 para sistemas basados en Itanium
  • Windows Server 2008 para sistemas basados en Itanium service pack 2
  • Windows Server 2008 para sistemas basados en x64
  • Windows Server 2008 para el Service Pack 2 de sistemas basados en x64
  • Windows Vista
  • Service Pack 1 de Windows Vista
  • Service Pack 2 de Windows Vista
  • Windows Vista x64 Edition
  • Paquete de servicio 1 de Windows Vista x64 Edition
  • Paquete de servicio 2 de Windows Vista x64 Edition
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 y R2
  • Windows 10
  • Windows Server 2016

¿Cómo afecta a los sistemas?

El malware encripta archivos que contienen extensiones de oficina, archivos multimedia, bases de datos de correo electrónico y correos electrónicos, código fuente de desarrolladores y archivos de proyectos, archivos gráficos y de imágenes y mucho más.

Fuente: Kaspersky

También se instala una herramienta de descifrado junto con el malware que ayuda a realizar el rescate de 300 dólares exigido en Bitcoins, así como a descifrar los archivos una vez realizado el pago.

Fuente: Kaspersky

La herramienta de descifrado ejecuta dos temporizadores de cuenta atrás – un temporizador de 3 días, después del cual se indica que el rescate aumentará y un temporizador de 7 días que indica la cantidad de tiempo que queda antes de que los archivos se pierdan para siempre.

Dado que la herramienta de software tiene la capacidad de traducir su texto a varios idiomas, es evidente que el ataque está siendo dirigido globalmente.

Fuente: Kaspersky

Para asegurarse de que el usuario encuentra la herramienta de descifrado, el malware también cambia el fondo de pantalla del PC afectado.

Fuente: Kaspersky

¿Cómo mantenerse seguro?

  • Asegúrese de que la base de datos de su software antivirus esté actualizada y proteja su sistema en tiempo real y realice un análisis.
  • Si el malware: Trojan.Win64.EquationDrug.gen es detectado, asegúrese de que sea puesto en cuarentena y eliminado y reinicie el sistema.
  • Si aún no lo ha hecho, se recomienda instalar el parche oficial de Microsoft – MS17-010 – que mitiga la vulnerabilidad de las PYMES que se está explotando en el ataque.
  • También puede deshabilitar la SMB en su ordenador utilizando esta guía de Microsoft.
  • Las organizaciones pueden aislar los puertos de comunicación 137 y 138 UDP y los puertos 139 y 445 TCP.

Los sistemas basados en los EE.UU. fueron asegurados accidentalmente

Un investigador de seguridad británico de 22 años impidió accidentalmente que el malware se extendiera a las redes de EE.UU. cuando compró el dominio de conmutación de muerte del malware que aún no estaba registrado.

Tan pronto como el sitio se puso en funcionamiento, el ataque fue cerrado. Puedes leer su informe completo aquí sobre cómo descubrió el interruptor de muerte para el malware y finalmente lo apagó.

Lea también: Este fallo crítico de seguridad de Android sigue sin ser corregido por Google.

«Ya ha habido otra variante del software de rescate que no tiene un interruptor de apagado, lo que hace que sea difícil de contener. Ya ha comenzado a infectar a los países de Europa», dijo Sharda Tickoo, Directora Técnica de Trend Micro España.

Todavía no está claro quién es el responsable del ataque y las especulaciones han apuntado a Shadow Brokers -que también son responsables de liberar el malware en línea- o a múltiples organizaciones de hacking.

Vea el video de GT Hindi para Wannacry/Wannacrypt Ransomware abajo.

Última actualización el 8 de febrero de 2018

Deja un comentario