WannaCry, el ransomware que hizo temblar al mundo

Más de 300,000 computadoras en 179 países: Ese es el conteo de afectados desde el viernes 12 de mayo producto del ataque cibernético masivo, según informó la Oficina Europea de Policía (Europol). El atentado cibernético logró bloquear el acceso a los sistemas informáticos de Instituciones estatales y empresas de alrededor del mundo utilizando el software malicioso Ransom:Win32.WannaCrypt.

El malware intentó infectar más computadoras en Rusia que en cualquier otro lugar en el mundo, según un análisis de Kaspersky Lab, una compañía antivirus rusa. Una portavoz del ministerio del Interior Ruso dijo que cerca de 1,000 computadoras que utilizan el sistema operativo Microsoft Windows fueron atacadas, sin embargo estas fueron aisladas de las redes.

Por otro lado, México ya se considera el país más afectado en América Latina y el quinto a nivel global, después de Rusia, Ucrania, China e India, por el ataque mundial del ransomware WannaCry, dijo el director del Equipo de Investigación y Análisis de Kaspersky Lab para América Latina, Dmitry Bestuzhev. El experto detalló que los principales afectados son clientes corporativos e instituciones que tienen equipos conectados a la red, con sistemas desactualizados; este ataque viene provocado por la explotación de la vulnerabilidad MS17-010 utilizando EternalBlue/DoublePulsar, que puede infectar al resto de sistemas Windows conectados en la misma red que no estén debidamente actualizados y puede llegar a comprometer a toda la red.

Las empresas de seguridad y los servicios de inteligencia de varios países sospechan que el cibersecuestro mundial de más de 300,000 computadoras tuvo su origen en Corea del Norte. Investigadores de empresas como Google, Symantec y Kaspersky y fuentes del Gobierno de EE UU creen que el régimen asiático podría ser el autor intelectual de la agresión, que ha afectado a 179 países, por los códigos utilizados y las pistas que ha dejado el virus a su paso.

Ransomware WannaCry

Todavía es muy temprano para tener las pruebas concluyentes, por ello los investigadores advierten que podría tardarse semanas, e incluso meses, en encontrar a los auténticos hackers que paralizaron los sistemas informáticos en todo el mundo. Entre los casos parecidos se encuentra el ataque que sufrió la compañía Sony Pictures Entertainment en noviembre de 2014. Un grupo de hackers denominado ‘GOP’ amenazó con difundir datos internos de la compañía y después filtraron en internet cinco películas que no se habían estrenado. En aquella ocasión se apuntó directamente a Corea del Norte por las amenazas que vertió si se estrenaba ‘The Interview’, una comedia sobre un plan de la CIA para asesinar al líder norcoreano Kim Jon-Un.

Aunque también se han encontrado similitudes en el código de Wannacry con el hackeo que sufrió el año pasado el banco central de Bangladesh y los bancos de Polonia en febrero. Ciberdelincuencia que apuntaba directamente a Pyongyang y a su ejército de hackers.

Shadow Brokers un grupo de hackers es señalado de robar un “arma cibernética” de la Agencia Nacional del Seguridad (NSA) de EU en abril, llamada “Eternal Blue” que fue creada para obtener acceso a la información que almacenan los equipos utilizados por terroristas; facilita el acceso a los equipos con sistema operativo Microsoft Windows. Dicha herramienta fue utilizada como medio para realizar la propagación del ransomware. Edward Snowden ha señalado públicamente que este grupo de hackers está respaldado por el gobierno ruso.

WannaCry bloquea el acceso a la información almacenada que, a cambio de recuperarla, pide el pago de bitcoins; cuya cotización oscila entre los mil 600 dólares por cada bitcoin. El método de propagación es utilizando solo un equipo en la red, mediante protocolos que utilizan los dispositivos para conectarse a la red interna. A diferencia de otros ataques este no fue dirigido a un sector en específico, el objetivo era obtener mucho dinero.

Marcus Hutchins conocido en la red como MalwareTech detuvo la propagación del ransomware, mediante la activación de un “kill Switch” un código de autodestrucción, algo que los hackers hacen para poner un freno al ataque cuando se les va de las manos. Sin embargo esta acción solo detiene esta versión de WannaCry; ya existen nuevas versiones que no cuentan con el kill switch.

Brad Smith, presidente de Microsoft, dijo que el ataque da un ejemplo más de por qué es un problema que los gobiernos almacenen vulnerabilidades de software para sus propios intereses, señalando claramente a la NSA como uno de los responsables del desastre.

Aunque el brote de ransomware parece estar controlado y se ha frenado su propagación, otros ciberdelincuentes se han inspirado en la estrategia de WannaCry para crear nuevos malware con los que puedan infectar los equipos y causar daños. Proofpoint ha detectado un nuevo ataque llamado Adylkuzz a gran escala que hace uso de la misma tecnología que WannaCry, este malware infecta a los equipos de las víctimas y los controla sin que el usuario se entere, creando una red de bots. Después, el malware se beneficia de los recursos del equipo zombi a su disposición para crear criptomoneda Monero, una alternativa de Bitcoin. Se cree que Adylkuzz ya ha infectado más de 200,000 equipos a nivel mundial.

China alerto sobre otro malware llamado UIWIX, aunque no se ha registrado ninguna infección en China, el virus se propagó en otros países y provocó una alerta de la firma danesa de ciberseguridad Heimdal Security. UIWIX usa la misma vulnerabilidad MS17-010, UIWIX se ejecuta en memoria después de explotar EternalBlue. Al no tener archivos ejecutables, reduce enormemente su huella y, a su vez, hace que la detección sea más complicada. UIWIX es una amenaza que tiene medidas para evadir el análisis de sandbox, si la amenaza detecta que se ejecutará en una máquina virtual o un sandox, no realiza su actividad maliciosa. Parece tener rutinas capaces de recopilar el acceso al navegador del sistema infectado, al protocolo de transferencia de archivos (FTP), al correo electrónico.

Estadísticas de WannaCry

Recomendaciones para protegerse ante este tipo de ataques:

  • Es importante crear políticas y procedimientos de seguridad dentro de las empresas ya que ayudan a saber que hay que proteger y como proteger, son referencias rápidas en casos de emergencia y ayudan a eliminar los puntos de falla críticos.
  • Contar con copias de seguridad, en especial de la información más crítica para la Organización o Personal.
  • Evitar abrir correos con archivos adjuntos sospechosos.
  • Evitar la conexión de dispositivos USB no confiables.
  • Y sobre todo capacitar a las personas que laboran en las empresas para saber cómo reaccionar ante este tipo de mensajes no confiables.

Desde el punto de CSI (Consultores en Seguridad de la Información) es importante mencionar que tanto la tecnología (antiransomware, firewalls, antivirus, etc) como el factor humano y la implementación de buenas prácticas de seguridad de la información dentro de las empresas ayudan a minimizar los posibles riesgos en materia de seguridad. Tomando el caso de WannaCry donde Microsoft había liberado 2 meses atrás parches y actualizaciones para solucionar la vulnerabilidad MS17-010 se ha visto que muchas empresas pueden tardar más de 90 días para actualizar sus equipos, esto puede ser causa de una mala organización, segregación y definición de funciones donde no se especifica quien debe de actualizar los servidores (Ej. Administrador de sistemas) y quien debe de revisar que dicha actividad se haya llevado a cabo (Ej. Oficial de Seguridad); dando el tiempo necesario a los ciberdelincuentes a realizar ataques que podrían ser incluso dirigidos. Llevar a cabo la implementación de esta y otras buenas prácticas de acuerdo a las necesidades de cada empresa ayudará a reducir el riesgo de un mal uso de la información y tecnología de una manera deliberada o por negligencia.

Referencias

Kaspersky: Support.kaspersky.com/mx/13698

Europol: Europol.europa.eu/newsroom/news/wannacry-ransomware-recent-cyber-attack

Symantec: Symantec.com/security_response/writeup.jsp?docid=2017-051310-3522-99

MalwareTech: Malwaretech.com

ElPaís: Internacional.elpais.com/internacional/2017/05/16/actualidad/1494915808_769491.html

ProofPoint: Proofpoint.com/us/threat-insight/post/adylkuzz-cryptocurrency-mining-malware-spreading-for-weeks-via-eternalblue-doublepulsar

Heimdal Security: Heimdalsecurity.com/blog/security-alert-uiwix-ransomware/

TrendMicro: Blog.trendmicro.com/trendlabs-security-intelligence/wannacry-uiwix-ransomware-monero-mining-malware-follow-suit/

Articulo por: Veronica Becerra

Investigación realizada por el equipo de:

www.csinfo.com.mx



También Recomendamos

Déjanos tus comentarios !!

Deja un comentario