El ataque ransomware basado en WannaCry que casi paraliza el mundo

mayo 13, 2017 ,

Telefónica ha quedado claro que solo ha sido el principio del ataque ransomware WannaCry, que ha terminado afectando a casi un centenar de países de todo el mundo, pero que no ha conseguido su objetivo, ya que apenas si hay un puñado de pagos.

Ayer asistimos a un día frenético en lo referente a seguridad informática y todo empezó con Telefónica y un ataque que pensamos en primera instancia que era local en Telefónica, pero que rápidamente salto a otras empresas o al menos eso es lo que se ha especulado, provocando que muchas por seguridad desconectaran su acceso a internet y quedando solo la red interna. Este ataque mediante un ransomware denominado WannaCry no es una cosa localizada y es que ha afectado a todo tipo de empresas y se ha expandido por todo el mundo, provocando empresas e instituciones se vean afectadas y secuestradas.

Tras recibir los primeros datos, como decíamos, algunas empresas en nuestro país han empezado a tomar medidas para evitar verse afectadas. Por la tarde hemos empezado a recibir los primeros datos de que esto no era una cosa local, sino que era mundial y que crecía exponencialmente. El ataque es indiscriminado y no se ha puestos fronteras, tanto es asi que ha afectado a varios hospitales de Reino Unido, instituciones de Rusia, hay casos en Ucrania, Taiwan y en tantos países que faltan dedos.

El secuestro de dispositivos y datos

El director de investigación global de Kaspersky Lab, Costin Raiu, está hablando que a las 19:00, hora de España, se habrían registrado más de 45.000 ataques informáticos ransomware en al menos 74 países. Dos horas más tarde, a las 21:00 (hora española), la compañía Avast ampliaba la cifra a más de 75.000 dispositivos afectados en 99 países, que se dice pronto. Los países más damnificados han sido España, Rusia y Taiwan y muchos hablan de que se han empezado a realizar pagos en Bitcoins a los secuestradores.

ransomware

MalwareTech ha emitido un informe se basaría en EthernalBlue, que es un exploit utilizado por la NSA que fue filtrado por Shadow Brokers en marzo de este año y que afecta solamente a dispositivos Windows. En abril Microsoft público un parche para solventar el problema, pero como siempre pasa con estas cosas, hay muchos equipos sin actualizar.

FedEx ha confirmado que han sido víctimas de WannaCry y que tienen un gran número de equipos basados en Windows en sus oficinas de Reino Unido, secuestrados, implementando medidas para contener el ataque. No hay datos sobre las medidas tomadas, pero la cuenta de Twitter de SwiftOnSecurity dice que todos los trabajadores de FedEx de Estados Unidos han recibido la orden de apagar y desconectar de la red todos los equipos que usen Windows y no sean esenciales, para evitar la propagación.

ransomware ransomware

Rusia también ha sido afectada, con al menos mil equipos del Ministerio de Interior infectados por el ataque. El Kremlin asegura que esta todo bajo control y han logrado contener el ataque con éxito y no habrían perdido información (podrían decir como lo han hecho, porque esta todo el mundo como loco con este tema).

Aquellos que quieran ver cómo está la situación, hay un mapa interactivo disponible para todos que permite ver cómo está la situación en tiempo real (acojona bastante, la verdad). El mapa deja ver actividad en muchos puntos del globo, aunque son muy pocas las compañías o instituciones que han confirmado el ataque a sus dispositivos de manera oficial. México tiene varios ataques marcados, pero no hay datos oficiales sobre si realmente han sufrido un ataque.

Las explicaciones de Chema Alonso

Chema Alonso, el mayor experto de seguridad de España que trabaja curiosamente en Telefónica ya ha comentado en Twitter que no responsabilidad y es cierto, ya que por muy bueno que seas, basta con que alguien se salte un protocolo de seguridad y se desate la locura máxima, como parece que está pasando en este caso, ya que podrían ser usuarios aleatorios los que sin querer han empezado el tsunami en sus empresas o instituciones.

En su blog ‘El lado del mal’, comenta que el ransomware tiene como objetivo cifrar el contenido y no robarlo y que sería distribuido mediante un dropper mediante un correo electrónico que no sería detectado por muchos motores de antimalware. Chema comenta que los antimalware ya lo detectan porque han estado colaborando con las empresas que los desarrollan, tanto el por su parte como otros compañeros que se han visto afectados.

ransomware

La explicación de Chema de como ha sucedido es bastante sencilla y esclarecedora:

  • Fase de infección: spam masivo a direcciones de correo de todo el mundo con un enlace para descargar el dropper (que descarga el playload). Esto traducido es que se descarga una especie de instalador automático que empieza la fiesta.
  • Cuando se descarga del dropper se infecta con el ransomware la máquina.
  • La máquina infectada realiza un scan de la red local en busca de equipos vulnerables a MS17-10 para realizar la infección en ese equipo y propagar la infección. El MS17-10 es la vulnerabilidad de Windows que ha abierto la puerta a este lio monumental.

Las informaciones facilitadas por Chema Alonso muestran que la cartera digital de Bitcoin que incorpora el software lleva apenas ocho transacciones en total mediante las tres transacciones que utiliza este equipo. Según un informe, solo habrían reunido 6000$, una cifra bastante ridícula, si somos sinceros, para la cantidad de maquinas afectadas.

ransomware

La entrada El ataque ransomware basado en WannaCry que casi paraliza el mundo aparece primero en HardwareSfera.

via Internet – HardwareSfera

Deja tu comentario

No hay comentarios

Suscribirse a: Enviar comentarios ( Atom )