Ransomware WannaCry
Desde el pasado 12 de mayo de 2017 nos despertamos con la
noticia de que alrededor del mundo se estaba llevando a cabo un fuerte ataque cibernético
que comenzó a afectar a muchísimos equipos de cómputo y móviles tanto de
usuarios comunes como las redes de grandes empresas a nivel mundial.
Instituciones como Telefónica aquí en España, o el servicio
nacional de salud del Reino Unido han sido dos de las grandes multinacionales
más afectadas.
Por todos lados empezamos a escuchar y leer la palabra “Ransomware”, pero ¿qué es en realidad en
Ransomware? y ¿por qué ha logrado un impacto tan grande a nivel mundial?, ¿Qué hace
y como es que funciona? Y lo más importante, ¿me puede afectar a mí? y ¿cómo
evito que me vea afectado también?
Bueno el Ransomware es un tipo de malware informático que se
instala de forma silenciosa en dispositivos móviles, y ordenadores de todo
tipo, y que una vez se pone en acción cifra o encripta todos los datos para
bloquear el acceso a ellos sin la contraseña que permite descifrarlos. Muchos
lo describen como un secuestro informático para su mejor comprensión. Esto
permite que si no se tiene la clave (privada) de descifrado, no es posible por
ningún otro medio recuperar los archivos originales.
En este caso en particular del Ransomware WannaCry solo
afecta a los equipos con sistema operativo Windows, pero ¿como es que podemos
adquirir este malware? y ¿como entra en el sistema Windows?, bueno, existen
varios métodos.
El mecanismo de acceso del malware a los ordenadores
afectados es variado, pero sobre todo se suele infectar a la víctima a través
de correos con spam: recibos o facturas falsas, ofertas de trabajo,
advertencias de seguridad o avisos de correos no entregados, etc.
Si la víctima abre el fichero ZIP que normalmente se adjunta
en dichos correos, se activa un JavaScript malicioso que hace que se instale el
malware para que el ciberatacante lo active cuando lo considere oportuno.
Ese tipo de ataque puede activarse también a través de
exploits que aprovechen vulnerabilidades de todo tipo. Los últimos datos del
ciberataque sufrido por Telefónica parecen apuntar a equipos con Windows, y
justo esta semana Microsoft publicaba un parche para una vulnerabilidad crítica
"zero-day" que había descubierto recientemente y que era
especialmente peligrosa.
El ataque se aprovecha de una vulnerabilidad de seguridad
documentada por Microsoft en el boletín
MS17-010, liberado el pasado 17 de marzo del 2017.
Esta vulnerabilidad afecta a los equipos que no tienen las
últimas actualizaciones de seguridad.
Dicha vulnerabilidad radica en permitir la ejecución remota
de código de Windows SMB.
En la mayoría de los casos la variante de Ransomware
conocida como “WannaCry”, “WCry” o “Wanna Cryptor” está siendo distribuida por
correo electrónico a través de correo spam.
Una vez activado el Ransomware este comienza a encriptar los
archivos que tengamos en ese equipo y evitando que podamos hacer uso de ellos o
que sea posible modificarlos de algún modo.
Para conseguir contraseña los responsables de este tipo de
ciberataque piden un rescate que a menudo es económico. Como se ve en la
imagen, lo que ven los usuarios afectados suele ser una pantalla informativa en
la que se pide una cantidad de dinero (en este caso, 300 dólares en bitcoin)
que se deben pagar en un plazo establecido, o de lo contrario esos datos
quedarán bloqueados para siempre.
El algoritmo de cifrado que utiliza dicho malware es AES,
que es un algoritmo de cifrado simétrico, es decir usa la misma clave para cifrar
como para descifrar.
Pero ante todo esto como podemos evitar que nos afecte a
nosotros. Bueno las medidas son las siguientes:
- · La primera medida es tener el sistema operativo Windows actualizado.
- · También puedes plantearte pasar a una distribución Linux, como Linux Mint, LXLE o la considerada como la mejor distribución Linux en el año 2017 para el escritorio: Elementary OS.
- · También debes tener actualizados los drivers del sistema y, por supuesto, los programas, sobre todo el navegador y si tienes cliente de correo.
- · Debes tener un antivirus, un cortafuegos, uno o varios antiespías (SpyBot, Malwarebytes y Spywareblaster pueden ser útiles) y, para finalizar, deberíamos añadir una de las múltiples herramientas antiransomware que han surgido.
- · El CCN-CERT ha liberado recientemente una herramienta, disponible aquí, específica para el virus Wanna Cry.
- · Haz periódicamente copias de seguridad de tus datos, ya que también tu disco duro va a fallar.
- · Existen listas de comprobación de seguridad para usuarios domésticos, que deberías tener en cuenta.
¿Cómo se ha detenido
el ataque?
Lo curioso es cómo se ha conseguido detener la propagación
del ataque.
Un investigador de ciberseguridad británico de 22 años ha
sido nombrado por las redes sociales como el "héroe anónimo" que ha
conseguido detener la amenaza de Wanna Cry.
@Malwaretechblog en Twitter, con la ayuda de Darien Huss, de
la firma Proofpoint, han encontrado un "botón rojo" (kill switch) en
el ransomware que lo detiene. Esa línea de código fue incluida por el creador
de Wanna Cry. Se trata de una dirección web no registrada a la que el malware
realizaba una petición, una .com con letras y números muy larga, casi críptica,
y que terminaba en "gwea.com" concretamente es
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com).
Si Wanna Cry no obtiene respuesta de esa web, se expande. Si
se activa, se detiene. Por eso el investigador compró el dominio por unos 10
euros.
Más importante aun dentro de Telefónica una de las empresas
afectadas al parecer se ha logrado tener una manera de descifrar los archivos
infectados. En el siguiente video podemos ver como lo hacen por medio de la
consola. A falta de información mas detallada les dejo el video.
Recordemos que el tener acceso a los recursos de cualquier red siempre trae
consigo peligros que pueden afectar nuestra experiencia y trabajo; por lo cual
debemos estar alertas con respecto al estado de la seguridad de nuestro equipo
de cómputo y de la red a la cual tenemos acceso, además de estar al día de los
peligros que existe afuera y como protegernos de ellos.
No hay comentarios:
Publicar un comentario