RealDroidES

WanaCrypt0r 2.0 – WCry. Resumen de uno de los peores ciberataques de la historia

Ayer Viernes 12 de Mayo se vivió un día de locura por unos ciberataques masivos que han afectado a nivel mundial a empresas y servicios, y sin saber el alcance definitivo no podemos decir que sea el peor ciberataque de la historia, sí uno de los peores de ransomware (en Genbeta han hecho un listado de los 9 peores ataques de ransomware), pero la sensación es de que esta vez ha sido diferente.

Diferente porque, por su repercusión en los medios, por primera vez mucha gente (fuera del ámbito de las redes) ha descubierto que algo que pasa en el “mundo cibernético”, ése que hasta ahora parecía discurrir en paralelo pero fuera de los focos, puede tener un impacto en el “mundo real” sin que se trate de una película.

El ataque de WanaCrypt0r 2.0 es un vistazo al futuro donde lo que pase en las redes afectará cada vez más fuera de ellas

Diferente también, porque no se trata de sonar alarmista, sino de ser realista para asumir lo que desde hace años se ha venido anunciando, que muchas de las guerras en un futuro tendrán sus campos de batalla también en Internet. Algo hacia lo que en realidad hemos ido avanzando durante los últimos años aunque no protagonizaran tantas noticias, con la multiplicación de ciberataques ya no sólo por parte de hackers solitarios, o grupos de los mismos buscando demostrar sus habilidades, sino con las sospechas de gobiernos detrás de esos grupos dirigiendo ataques para conseguir objetivos políticos, y tenemos ejemplos tan actuales como las posibles injerencias rusas en las elecciones americanas y francesas.

Diferente por la seguridad de que no pasará mucho tiempo hasta que haya un nuevo peor ciberataque de la historia.

Las primeras noticias (en España). Ataque contra Telefónica y otras empresas

Durante la mañana empezaban a llegar los primeros mensajes sobre un ataque a Telefónica. Asegurando que sus equipos, tanto de la central como en oficinas a lo largo de España, estaban siendo “secuestrados” por un ransomware, un programa que cifra los archivos del ordenador atacado y pide un rescate económico para poder descifrarlos y acceder a ellos.

El ataque desde luego era diferente a lo visto anteriormente. Para las 14:00 los informativos le dedicaban un espacio en las noticias, y los propios empleados de Telefónica, que habían tenido que abandonar sus puestos de trabajo sin poder llevarse sus portátiles, confirmaban que habían recibido órdenes de apagar los equipos tras aparecer en sus pantallas mensajes pidiendo ese rescate de los datos.

Algunas informaciones indicaban que Telefónica no era la única empresa afectada, surgiendo nombres como BBVA, Everis o Vodafone dentro de los afectados; y una publicación del Centro Criptológico Nacional confirmaba que eran varias las empresas españolas que se encontraban bajo ataque.

Xataka recogía las respuestas de varias de las empresas nombradas. Algunas como BBVA y Banco Santander ya habían negado haber sido afectadas. Otras como Everis, Indra, el Colegio de Registradores de Madrid, Elecnor, Vodafone o Gas Natural tomaban medidas preventivas, en algunos casos cortando el acceso a redes internas y VPN; en otros incluso enviando a casa a sus trabajadores.

Quedaba claro que el ataque no era contra Telefónica pero poco después se sabría que ni siquiera afectaba sólo a nivel nacional.

Ataque masivo a nivel mundial

Habían pasado unas pocas horas y, mientras intentábamos averiguar qué empresas españolas habían sido atacadas, empezaban a llegar mensajes de fuera de nuestras fronteras indicando que no éramos un caso único, que se trataba de un ataque global, y que no sólo había multitud de empresas afectadas sino incluso servicios bastante importantes.

Lo que era un listado de países, donde España ocupaba la tercera posición entre los más perjudicados, iba a ir creciendo a una velocidad asombrosa hasta alcanzar por la tarde 74 países y más de 70.000 ataques.

Los reportes de ataques llegaban sin parar, incluyendo 1.000 ordenadores del Ministerio de Interior ruso, pero el más preocupante, por el objetivo, ha sido el sistema sanitario de Reino Unido, donde los sistemas de al menos 16 hospitales y centros sanitarios han sido atacados, y se pedía que los pacientes sólo acudieran a los centros por casos urgentes.

Sobre las 21:00, hora española, la firma de antivirus Avast actualizaba las cifras a 99 países afectados y más de 75.000 equipos secuestrados.

Origen del ataque, arma empleada, y una vacuna que ya existía

La principal enseñanza que podríamos sacar hoy (aparte de que nada resulta 100% seguro) es la importancia absoluta de tener los equipos actualizados, porque, para el “agujero” de los sistemas Windows que se ha usado en el ataque, ya se había publicado una actualización el 14 de Marzo que lo corregía. Aunque si usas Windows Vista, Windows 7 o Windows Server 2008 la solución sería actualizar el sistema operativo completo, ya que Microsoft dejó de dar soporte a esos sistemas y no cuentan con ese parche.

Pero ¿quién ha sido el responsable del ataque?. Aunque algunos rumores han apuntado a un origen desde territorio chino en The Guardian indicaban que aún no se ha podido precisar ningún punto de partida pero sí que está más claro es cuales han sido el método de acceso, el vehículo, y la bomba empleada.

El método de acceso habría sido mediante un archivo adjunto abierto por algún empleado, que habría desembocado en la instalación de “la bomba”, la variante WanaCrypt0r 2.0 (WCry/WannaCry); un ransomware, o lo que es lo mismo, un programa informático que como hemos dicho cifra los archivos del ordenador atacado y pide, para dar la clave, un rescate en forma de transferencia, en bitcoins, una cryptodivisa que permite mantener un cierto nivel de anonimato. (Esos archivos son fácilmente identificables porque les añade la extensión .WNCRY),

Una vez instalado WCry se habría reproducido en el mayor número de equipos posibles conectados a las redes corporativas.

Pero si tenemos claro cómo ha entrado, y cuál es el arma usada, nos faltaría el vehículo utilizado para aprovechar ese agujero de seguridad. Y ese vehículo tiene un nombre, Eternal Blue, y un creador, la NSA (Agencia de Seguridad Nacional de EEUU).

No sé si os acordaréis de que hace pocas semanas el escándalo era mayúsculo cuando WikiLeaks presentaba Vault7, una filtración que detallaba los medios y herramientas con los que las agencias de “seguridad” entraban en los ordenadores, móviles, y hasta SmartTV que quisieran, descubriendo agujeros de seguridad que dejaban sin comunicar para seguir aprovechándolos, pero a la vez dejando expuestos los ordenadores de los usuarios.

La teoría, y la defensa de las agencias, es que mientras esas vulnerabilidades sólo fueran conocidas por ellos no había problema ya que jamás se les pasaría por la cabeza hacer algo… malo. Sin embargo en las mismas filtraciones se demostraba como agencias como la NSA habían perdido el control sobre algunas de esas herramientras y la información sobre las vulnerabilidades, y aún así no habían avisado para que se corrigieran porque se podían seguir aprovechando de ello. (Precisamente hoy día 12 WikiLeaks ha filtrado la información sobre otras dos herramientas de hackeo AfterMidnight y Assassin creadas por la CIA).

Pues precisamente en Abrilel grupo The Shadow Brokers, que afirmaba haberse hecho con herramientas de hackeo de la NSA, publicaba varias de ellas, entre las que se encontraba Eternal Blue.

Eternal Blue aprovechaba la vulnerabilidad MS17-010 corregida un mes antes por la actualización de Windows y ha sido justo la herramienta empleada en el ataque de hoy para que WanaCrypt0r 2.0 pudiera hacer su trabajo.

Formas de defenderse. Algunas empresas están pagando

En Hipertextual explican lo primero que debes hacer para defenderte antes de que se produzca un ataque así, incluyendo el sentido común antes de abrir ficheros extraños, tener el sistema con los parches de seguridad actualizados, y una copia de tus ficheros importantes por lo que pudiera pasar.

Pero si ya has sido víctima de un ataque de este tipo existen proyectos como No More Ransom que recopilan consejos y herramientas para intentar recuperar tus datos aunque no te pueden asegurar el éxito porque los métodos de cifrado van variando y para cada uno de ellos se necesita una herramienta de descifrado específica.

Por último, respecto a la opción de pagar el “rescate” se trata de un chantaje, y que pagues no te garantiza que no te pidan a continuación más dinero si ya has estado dispuesto a empezar a pagar.

Aún así hay empresas que han decidido pagar el rescate y las últimas cifras indican que los atacantes al menos habrían recaudado 3.000$.

Estaremos atentos a la evolución del ataque a lo largo del fin de semana.

Seth

Seth

Gatoflauta protestón incorregible, friki en mi tiempo libre, friki en mi tiempo ocupado, y a una cámara pegado. Android, privacidad, obsesiones tecnológicas y políticas, y escritura por desahogo. "Normal" sólo a veces.
Seth