Seguridad y Redes

Este ransomware está atacando a todo el mundo justo ahora #WannaCry [Actualizado: ya paró, por ahora]

Actualización al final de la nota

En este momento hay un ransomware atacando en más de 99 países alrededor del mundo y sigue infectando más y más máquinas.

Desde el día de hoy en la mañana, una variedad del ransomware conocido como WannaCry, en este caso WanaCrypt0r 2.0 comenzó a infectar computadoras a lo largo de Europa, algunos de los más famosos casos  fue el de Telefónica, Gas Natural e Iberdrola en España, Telefónica en Chile, aerolíneas LATAM pero peor aún, está afectando las bases de datos de muchos importantes hospitales en Reino Unido lo que pone vidas en peligro.

El ransomware parece estar esparciéndose de modo “peer to peer” y según el investigador de reino unido conocido por su sitio MalwareTech la versión del ransomware que está atacando en este momento, está aprovechando una vulnerabilidad en equipos con Windows conocida como MS17-010, dicha vulnerabilidad, irónicamente, fue una de las filtradas por Shadow Brokers con todo tipo de herramientas y vulnerabilidades que la NSA estaba utilizando, es decir, la vulnerabilidad que usa este ransomware para infectar equipos, es una que la NSA estaba usando y por eso no la había reportado a Microsoft. Gracias NSA (sarcasmo).

Sin embargo Microsoft desde marzo ya había parchado esta vulnerabilidad, sin embargo como suele pasar, muchos usuarios y compañías no tienen las últimas actualizaciones de seguridad y es por lo que el malware sigue esparciéndose.

Hasta el momento, KasperskyLabs y otros investigadores, reportan que 75,000 equipos han sido atacadas por WannaCry en 99 países que incluyen la mayor parte de Eurasia, EUA y ya se está comenzando a esparcir a latinoamérica.

Lo peor de WannaCry es que como les decimos arriba, ya que un equipo ejecuta el malware, todos los equipos en la red local pueden ser infectados y como todo  Ransomware, encripta los documentos en el disco duro y bloquea el acceso, pidiendo que se deposite $300 dólares en bitcoins para desencriptar los archivos, sin embargo, como muchos expertos afirman, pagar no es garantía de que los atacantes manden la clave para desencriptar , de hecho pagar solo da un 30 a 40% de posibilidad de poder desencriptar los archivos.

¿Cómo me protejo?

  • En este momento es importante tomar algunas medidas precautorias, si estás usando equipos con Windows, hay que actualizarlos inmediatamente con los últimos parches de seguridad, y de preferencia usar el sistema automático de Windows y no tratar de descargarlo de internet manualmente, pero en todo caso, en esta página de Microsoft vienen los detalles de la vulnerabilidad y el parche específico que fue lanzado en marzo.
  • Aunque al parecer este malware no se está esparciendo por mails, no está de más que traten de no descargar o abrir links de mails aunque sean de personas conocidas a  menos que puedas asegurar que la otra persona realmente envió el mail y el archivo no pueda estar infectado
  • Lo más importante, respalda toda tu información en un disco duro externo u otro medio, también si estás en un equipo de una empresa o escuela, pide al administrador que actualice los equipos y de nuevo, respalda la información.

Para aclarar: Si tienen Windows 10, 8.1, RT, 7 o Vista y tienen todas las actualizaciones al día deberán estar protegidos, si no es así, en esta página de Microsoft pueden encontrar el parche dependiendo su versión de Windows. Para los que tienen Windows XP o 8, Microsof no brinda actualizaciones pero liberaron un parche para aliviar este problema y lo pueden encontrar aquí.

Por el momento el ataque sigue y  hay algunas cosas que los administradores pueden hacer para reducir la posibilidad de ataque. También recuerden que antes de pagar por un ransomware ya hay herramientas y grupos que tienen métodos para desinfectar algunos tipos de ransomware, aunque no siempre se puede recuperar la información.

La escala del ataque es un tanto inusual y al momento no se sabe si así lo querían los atacantes o cuáles son sus intenciones ¿podría ser una llamada de atención a los métodos de la NSA o un verdadero ataque por malicia?

 

Actualización (8:45 pm):

El ataque ha parado gracias a que expertos notaron que el malware estaba usando un dominio como killswitch (un “botón” de stop por decirlo así) y MalwareTech pudo registrar el dominio, por lo que paró el esparcimiento del ransomware. Es decir, los atacantes hicieron que el programa checara este dominio, si el dominio estaba en funcionamiento entonces paraba la infección a más máquinas, debido a que MalwareTech registró y activó el dominió, WanaCrypt0r 2.0  dejó de esparcirse (más detalles del dominio y las “entrañas” de WanaCryptor 2.0 aquí ).

Por el momento, estas son buenas noticias, pero como MalwareTech hace notar, solo basta con que los atacantes cambien ese dominio en una nueva versión y podrán volver a esparcir el ransomware por eso es importante parchear la vulnerabilidad lo más rápido posible y para las personas que ya fueron infectadas, lamentablemente esto no ayuda.

Así que por el momento ya podemos tranquilizarnos un poco, al menos hasta que vuelvan a intentar usar una nueva versión del malware.

Actualización 13/05/17 11:15 am:

Malwaretech ha publicado un artículo donde cuenta cómo fue que identificó el tipo de vulnerabilidad que usaba esta versión de WannaCry y como detuvo “accidentalmente” el ataque al registrar el dominio que usaba el malware como killswitch, malwaretech cree que el uso de este dominio, muestra que los atacantes no eran muy buenos, lo cual fue bueno para todos.

También Microsoft liberó un parche para la vulnerabilidad para sistemas operativos Windows XP y Windows 8 que ya no son soportados oficialmente.

Comments
To Top