WannaCry: El gusano que se comió el mundo

Las antiguas leyendas nórdicas hablan de una enorme serpiente llamada Jörmungandr, tan grande que rodea el mundo y tiene su propia cola entre los dientes.

Leyendas fantásticas como estas a menudo solo se mencionan en los mitos, pero el viernes pasado fuimos testigos del nacimiento de una “serpiente del mundo” digital de la vida real, un gusano que se extendió tanto que ha abarcado el mundo, infectando servicios como el Nacional del Reino Unido. Servicio de Salud y grandes empresas de otras partes del mundo como Telefónica en España.

Aunque los expertos todavía están tratando de averiguar cómo continúa propagándose este gusano y cómo contrarrestar la amenaza, tenemos una buena idea de lo que sucedió y cómo puede tomar medidas para evitar daños en su sistema.

¿Que pasó?

El 12 de mayo de 2017, se produjo un ciberataque masivo por parte de un ransomware desconocido (lea más sobre ransomware aquí ). Eventualmente llamado WannaCry, logró infectar 230,000 sistemas sin precedentes repartidos en 150 países utilizando una combinación de phishing y explotación de sistemas no parcheados a través de bloques de mensajes de servidor local (SMB).

El ransomware bloquearía sus archivos y le mostraría una pantalla (que se muestra a continuación) que exigía $ 300 en Bitcoin en tres días para recuperar el acceso a ellos o, de lo contrario, el precio se duplicaría.

Aunque así es como suele funcionar el ransomware, hubo un pequeño problema que hizo que se propagara aún más rápido. WannaCry se aprovechó de una falla en SMB (que es responsable de compartir archivos e impresoras) que permitió que se extendiera a otras computadoras dentro de la misma subred. Solo se necesitó la infección de una sola computadora para saquear toda la red. Esto es básicamente lo que hizo de la infección una pesadilla para el NHS y otras grandes instituciones.

Quizás una cosa más digna de mención aquí es el hecho de que el exploit SMB fue tomado de la filtración del kit de herramientas de piratería de la NSA hace más de un mes. Hemos informado sobre una filtración similar de los archivos del Vault 7 de la CIA , que también contenían una variedad de exploits en funcionamiento que los piratas informáticos podrían utilizar en cualquier momento para escribir malware similar.

El interruptor de la muerte

Un investigador de seguridad desconocido que se conoce con el sobrenombre de “MalwareTech” registró un dominio que se encontró dentro del código de WannaCry que detuvo la propagación del software. Verá, cada vez que el malware se ejecuta en una computadora, verifica si el dominio existe (es  iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com , por cierto). Si se registra, el malware podría conectarse a él y, al hacerlo, dejaría de propagarse inmediatamente. Parece que el pirata informático que lo escribió quería probar las aguas y tener un plan de contingencia en caso de que las cosas se vuelvan locas. Este momento fortuito impidió que el ransomware causara más estragos … al menos por ahora.

Aquí está la cruda verdad: aquí no hay final feliz. Descompile el código y podrá encontrar fácilmente las partes donde la aplicación llama a las funciones de WinAPI “InternetOpenURLA ()” o “InternetOpenA ()”. Eventualmente, podrá editar el fragmento donde intenta conectarse al dominio del interruptor de interrupción. No se requiere un programador extraordinariamente hábil para hacer esto, y si algún pirata informático tiene la brillante idea de hacer una nueva versión de WannaCry con el interruptor de interrupción editado antes de que todos parcheen sus sistemas, la propagación continuará. Los piratas informáticos más emprendedores incluso editarán la cuenta de Bitcoin a la que deben ir los pagos y obtendrán una gran ganancia.

Ya se han detectado versiones de WannaCry con diferentes dominios de interruptores de interrupción y aún tenemos que confirmar si ha aparecido una versión sin interruptores de interrupción.

¿Qué puedes hacer?

A la luz de lo sucedido, Microsoft ha respondido rápidamente con parches, incluso cubriendo versiones de sistemas operativos no compatibles como Windows XP. Mientras mantenga su sistema actualizado, no debería experimentar la infección de nivel SMB. Sin embargo, aún puede sufrir una infección si abre un correo electrónico de phishing. Recuerde nunca abrir archivos ejecutables enviados como archivos adjuntos de correo electrónico. Mientras ejerza un poco de prudencia, podrá sobrevivir al ataque.

En cuanto a las instituciones gubernamentales que fueron pirateadas, esto no sucedería si simplemente abrieran sus sistemas de misión crítica .

¿Deberíamos esperar ataques más atrevidos después de que los piratas informáticos implementaran exploits encontrados en las recientes filtraciones de seguridad de EE. UU.? ¡Cuéntanos lo que piensas en un comentario!

¡Si te ha gustado vota con 5 Estrellas!
(Votos: 0 Promedio: 0)

Escribe Aquí Tu Comentario