¿Qué hay detrás del ciberataque mundial de ransomware?
By S. Rojas, News
Lo que comenzó como un informe en que el que se indicaba que los Hospitales Británicos se enfrentan a un ataque de Ramsomware, se ha convertido en un desastre de seguridad informática de escala global.
¿Qué ha ocurrido?
El software de cifrado ramsomware conocido como WanaCrypt0r 2.0 o simplemente WannaCry consiste en un virus auto replicante diseñado, al igual que otros ramsomware, para encriptar los archivos locales de una red y solicitar un pago para recuperar los datos perdidos. Como suele ocurrir con estos virus, no es necesario hacer nada para “limpiar” tu equipo tras la infección. El virus invade el sistema, encripta toda la información a la que tiene acceso, tras esto intenta replicarse mediante una vulnerabilidad del protocolo SMB y, tras esto, se elimina del sistema dejando todos los archivos con extensión conocida encriptados y un mensaje en el ordenador solicitando un pago por la recuperación de los mismos. Un listado de las extensiones afectadas por el virus puede encontrarse aquí.
¿Cómo empezó esto?
La historia de este ataque se remonta a hace un mes. El 14 de Abril de este año, un grupo de Hackers llamados “Shadow Brokers”, del que se sospechaba tener lazos con el gobierno ruso, daba a conocer lo que, según ellos, son un conjunto de “exploits” de la NSA, diseñados para invadir sistemas. Esta filtración es especialmente peligrosa ya que no solo incluía algunos “exploits” o “puertas traseras” para para acceder a sistemas operativos Windows antiguos, sino que incluía guías detalladas de cómo usarse para un ataque organizado. Windows 10 no se ve afectado, ya que estos “exploits” datan de 2009 a 2013. No obstante, hay informes de la existencia de WannaCry (al menos un virus con ese nombre) antes de que los Hackers liberasen la información.
Todo apunta a que las instrucciones indicadas en esta filtración se pusieron en marcha el pasado 12 de mayo de 2017, provocando un impacto a nivel mundial.
¿Qué ocurrió después?
Un día después del ataque, un investigador del sureste de Inglaterra británico, trabajador de la empresa Kryptos logic, encontró un “killswitch”, una especie de “sistema de apagado de emergencia” que consiste una conexión previa a la activación del virus en cada equipo infectado. Si el virus encuentra respuesta a una petición a la dirección ww w .iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, este detiene su funcionamiento y su expansión se detiene. Analizando el código mediante ingeniería inversa, el ingeniero detectó estos intentos de conexión por parte del virus.
Este dominio no estaba registrado, de modo que, tras registrarlo y asegurarse que esta dirección respondía adecuadamente las peticiones, el virus detuvo su avance. No obstante, parece que el tema no está cerrado, ya que nuevas variantes que buscan diferentes dominios han empezado a dar la cara desde el 14 de mayo. De momento se está conteniendo su expansión registrando los dominios requeridos, pero no se trata de una solución real.
¿Cómo se pueden evitar futuros ataques?
Las únicas soluciones reales no son nuevas y responden a las buenas prácticas ya conocidas por muchos, aunque aplicadas por pocos.
Aunque el virus se auto-replica a través de la red local utilizando una vulnerabilidad del protocolo SMB de Windows en sistemas Windows 8 o anteriores que no estén actualizados, la difusión a través de Internet se realiza, principalmente, a través de correo electrónico.
Por tanto, la educación de los usuarios en su uso diario de los equipos informáticos y el mantener los sistemas actualizados es la clave para evitar estar expuestos a este tipo de ataques.
Por parte de los usuarios debemos dejar claro la importancia de nunca abrir enlaces o ficheros adjuntos a correos cuya procedencia no tenemos asegurada. Siempre que no esperemos un correo con un adjunto o un enlace web, debemos sospechar las malas intenciones. Si tenemos dudas, podemos responder al remitente para nos explique el motivo del correo enviado. En gran mayoría de los casos, los ataques son enviados desde sistemas automatizados, que nunca responderán a estas explicaciones. Si el remitente es legítimo, deberá responder indicando qué es lo ha enviado y porqué incorpora dicho enlace o adjunto.
Por parte de los departamentos TIC, además de informar debidamente a los usuarios, es su responsabilidad aplicar todos los parches de seguridad que corrigen las vulnerabilidades conocidas para los sistemas.