RealDroidES

WanaCrypt0r muta y los expertos temen una nueva oleada de ataques desde hoy mismo

Actualiza ya tu sistema Windows. Enlaces al final del artículo

El Viernes 12 al mediodía nos enterábamos, por través de las noticias sobre un ataque a Telefónica y otras empresas españolas, de los primeros detalles de lo que se confirmaría con la horas como un ataque masivo global.

Para el mismo Viernes por la noche ya se hablaría de 99 países afectados y más de 80.000 equipos “secuestrados” ya que WanaCrypt0r 2.0, la variedad empleada, es un ransomware, o lo que es lo mismo, un programa que cifra los contenidos del ordenador atacado pidiendo un rescate económico en bitcoins para entregar la clave de descifrado y que no pierdas todo el contenido del ordenador.

Desde grandes empresas, hasta ordenadores del Ministerio de Interior ruso, pasando por hospitales y centros de salud del Reino Unido, el Viernes y Sábado fueron horas de incertidumbre y miedo.

La confusión generada por un ataque que, por su importancia, ha dado el salto desde las noticias del mundo virtual hasta los medios generalistas de noticias del mundo real como pocas veces había pasado, llegó hasta el punto de que el Sábado al mediodía pude vivir en persona como en la red de Cercanías de Madrid, España, dentro de un convoy que quedaba detenido en las vías por un fallo informático del sistema, se llegaba a indicar por la megafonía del mismo, en dos ocasiones, que el problema “podía estar provocado por un ataque informático”.

Finalmente RENFE desmintió la noticia siendo la causa de los parones y retrasos un fallo en el sistema de señalizaciones (eso sí, con muy poco tacto catalogando la información de bulos cuando en algunos casos los propios pasajeros escuchamos la mención del hackeo por su megafonía).

El ataque es frenado temporalmente por sólo 10 €

El Sábado 13 por la mañana las redes se llenaban de artículos sobre un descubrimiento fortuíto que había frenado el ataque. La constatación por parte de @MalwareTechBlog, con la ayuda de @darienhuss, de que, una vez que WanaCrypt0r 2.0 se instalaba, intentaba conectarse a un dominio web que no estaba registrado, y al no poder hacerlo continuaba su ciclo.

Al no poder conectarse infectaba el ordenador y buscaba otros equipos en la misma red (de ahí la caída de redes corporativas como la de Telefónica) indefensos ante la vulnerabilidad MS17-010 a través de la herramienta Eternal Blue desarrollada por la NSA (Agencia de Segurida Nacional estadounidense). Agencia que había perdido el control sobre sus herramientas de hackeo en 2016 pero había decidido no avisar a las empresas de software para que solucionaran el problema.

Simplemente por probar lo que pasaría se registró ese dominio, lo que le costó 10,69 $ (la petición de rescate es de 300 $ y se estima que los atacantes han conseguido recaudar unos 20.000 $), con la sorpresa de que al poderse conectar WanaCrypt0r 2.0 con esa dirección ya no infectaba el equipo ni buscaba nuevos objetivos.

Era una victoria pero ya se indicaban que ni resolvería el problema de los equipos secuestrados, aunque daría tiempo a otros equipos para que se protegieran, ni sería definitiva porque era evidente que era cuestión de tiempo que se lanzara una modificación del programa atacante que no incluyera esa especie de kill switch, o interruptor de apagado.

La expansión continúa y se espera con miedo la nueva versión de WanaCrypt0r

Efectivamente, al registrar el dominio web al que WanaCrypt0r enviaba sus peticiones de conexión se pudo comprobar como la expansión del ataque frenaba; pero frenar no es lo mismo que detener. Y mientras se esperaba que apareciera la siguiente versión del programa, modificada para no poder ser detenida de la misma forma, el ataque afectaba ya a 150 países, 10.000 organizaciones y 200.000 equipos.

Por desgracia no habría que esperar mucho para que las predicciones se cumplieran, y mientras empresas como Renault anunciaban la paralización de actividades en varias de sus fábricas tras ser golpeadas por el ataque (Nisan en Reino Unido también ha sido alcanzada), se confirmaba la aparición de las primeras dos nuevas variantes de las que seguramente aparezcan en las siguientes horas.

La primera, detectada por @benkow_ **ha podido ser detenida ya que incluía el mismo interruptor de apagado pero dirigido a otro dominio* *** que ya ha sido registrado por @msuiche.

La segunda, detectada por Kaspersky, “sólo” funciona parcialmente ya que parece que el archivo se encuentra corrompido. Al parecer sí tiene capacidad para expandirse pero no llega a cifrar los archivos.

Los expertos dan como seguro la llegada de una nueva versión de WanaCrypt0r sin interruptor y que funcione correctamente, por lo que todas las alarmas se están disparando con la atención puesta en hoy mismo, Lunes 15, ya que tras el fin de semana muchas empresas y equipos retomarán la actividad a nivel mundial.

Adeḿas, por si fuera poco, a la aparición de variantes de WanaCrypt0r también se suman nuevos virus como Uiwix, que aprovechan la misma vulnerabilidad, se replican de la misma forma, y cambian la forma de presentar la solicitud de rescate.

Actualiza Windows lo antes posible

A expensas de lo que pase desde hoy mismo, de la llegada de nuevas “mutaciones” del virus, y de que el ataque se siga expandiendo como podemos comprobar en este mapa, la única solución es prevenir la infección mediante la actualización de Windows pertinente.

El 14 de Marzo ya se había liberado una actualización de seguridad para los siguientes sistemas.

  • Windows Vista
  • Windows Server 2008 / Windows Server 2008 R2
  • Windows 7
  • Windows 8.1
  • Windows Server 2012 and Windows Server 2012 R2
  • Windows RT 8.1
  • Windows 10
  • Windows Server 2016

Pero debido a la gravedad del ataque, definido ya como el de mayor alcance de la historia, Microsoft también lanzó una actualización extra para equipos con los siguientes sistemas:

Si por el motivo que fuera no puedes efectuar la actualización del sistema la recomendación es deshabilitar el protocolo SMB 1.0 de forma preventiva para que tu equipo no se pueda infectar.

Por su parte en el Centro Criptológico Nacional han publicado la herramienta NoMoreCry que funciona también de forma preventiva para evitar que el equipo pueda ser atacado por WanaCrypt0r 2.0.

Insistimos en que estas herramientas, e incluso las actualizaciones de Windows, tienen un carácter preventivo. Es decir, si tu equipo resulta atacado por el momento no hay forma de recuperar los datos, por lo que se recomienda también tener siempre una copia de los archivos más importantes.

Seguiremos atentos en las próximas horas a la evolución del ataque para informaros de cualquier novedad.

Seth

Seth

Gatoflauta protestón incorregible, friki en mi tiempo libre, friki en mi tiempo ocupado, y a una cámara pegado. Android, privacidad, obsesiones tecnológicas y políticas, y escritura por desahogo. "Normal" sólo a veces.
Seth