WannaCry, el troyano que ha hackeado al mundo

Mayo 17, 2017 by in category Servicios informáticos tagged as , , , with 0 and 1

¿Qué es un criptolocker?

Un criptolocker es un software malicioso cuyo cometido es encriptar los ficheros del usuario bajo una contraseña.
Los ficheros quedan entonces inutilizables por el usuario, momento en el que aparece un mensaje informando al usuario y pidiendo un pago por la contraseña para desencriptar los ficheros.
Este “modus operandi” es conocido como “RamsonWare” (Software que secuestra), porque realmente lo que realiza es un “secuestro” de nuestros ficheros, pidiendo un rescate económico para su “liberación”.

Caso más reciente: WannaCry

En estos últimos días hemos visto en las noticias el caso del ciberataque a nivel mundial que este ransomware ha causado. Aunque los medios se han hecho mucho eco de la noticia, España no ha sido de los países más afectados:

wannacry

Pero, ¿qué es “WannaCry”?

Se trata de un troyano cifrador que consta de 2 partes:

  1. Exploit: Se encarga de a infección y de la propagación a otros equipos.
    Aprovecha la vulnerabilidad “EternalBlue”(1) para infectar otros equipos de la misma red.
  2. Cifrador: Se descarga en un equipo infectado y se encarga de cifrar bajo contraseña secreta, la información de usuario. Por lo que nuestros ficheros quedan inaccesibles desde ese momento.
    Ficheros como: Documentos Office (Excel, Word, Powerpoint), ficheros multimedia, bases de datos… y un largo etcétera.

A partir de este momento, muestra un mensaje en la pantalla indicando que deberemos pagar si queremos recuperar nuestros ficheros. Contiene un contador de tiempo que indica un máximo de 7 días o nuestros ficheros serán borrados.
Ni que decir que, por sentido común, el pago de dicha cantidad no garantiza la recuperación de nuestros ficheros (4).

¿Cómo infecta?

Normalmente puede llegar por correo electrónico, camuflado como un mensaje válido y preparado para infectarnos con solo abrirlo o mostrarlo en la vista previa.
En otras ocasiones, nos puede llegar desde la misma red local, desde un ordenador ya infectado, usando fallos en los sistemas para poder saltar de equipo en equipo.
En el caso de WannaCry, aprovecha un fallo (1) de Microsoft que permite la ejecución de código remoto y así propagarse por la red local (como un gusano), infectando el resto de equipos.
Una vez un equipo está infectado, se procede a la descarga del complemento cifrador, que se encarga de “destruir” nuestros ficheros.

¿Cómo se detuvo la infección, al registrar un dominio?

Seguramente hemos oído en las noticias el caso del investigador llamado “MalwareTech”(5) que descubrió la llamada que el troyano hacía a una página web, y que no estaba registrada, y que “accidentalmente” logró parar la propagación tras registrar el dominio… Cabe decir que este señor es un investigador que dedica parte de su tiempo libre a investigar temas de seguridad, eso le ha permitido ejecutar el virus en un entorno controlado y analizar su código fuente, donde encontró el funcionamiento: “El troyano intenta conectarse a un dominio, si falla, realiza la infección, en caso contrario, si consigue conectar, no infecta…”, tras descubrir que el dominio no estaba registrado, lo registró, provocando así que el código malicioso encontrara el dominio y no realizara infecciones.
No se está seguro de porqué se programó así el troyano, hay varias teorías, la que parece tener más fuerza: se supone que esta comprobación que realiza el troyano se programó así para, en un momento dado, parar la infección.
En este artículo (5) explica como fue el caso y cómo, el hecho de registrar el dominio, no fue una “casualidad” sino una práctica que lleva mucho tiempo usando para detener miles de malwares.
Por lo que llamar “accidente” al trabajo de investigación que realizó MalwareTech, me parece muy equivocado.

¿Cómo protegernos?

Las medidas a tomar son las mismas de siempre, válidas para cualquier situación de riesgo:

  1. Tener un Sistema Operativo actualizado.
  2. Tener un software antivirus bueno, actualizado y que proteja en Internet (Internet Security).
  3. Mucho cuidado con los correos electrónicos, sus adjuntos y sus enlaces. Es lo más importante, porque de nada sirven los 2 puntos anteriores si el usuario no es consciente de sus actos, ya que el adjunto puede contener un virus desconocido hasta la fecha e infectarnos sin que el antivirus se entere.
  4. Realizar copias de seguridad off-line de nuestros ficheros. (Cintas, discos duros externos, etc.).

Hemos de ser conscientes que nuestras acciones pueden provocar una infección y la pérdida de información valiosa, tanto para nosotros como para las empresas que trabajemos.

No bajemos la guardia nunca.

Fuentes:
(1) Microsoft: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
(2) Kaspersky: https://blog.kaspersky.com/wannacry-for-b2b/16544/
(3) Kaspersky: https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/
(4) Kaspersky: https://blog.kaspersky.es/ranscam-ransomware/8707/
(5) MalwareTech: https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

En cumplimiento con Ley 34/2002, de servicios de la sociedad de la información te recordamos que al navegar por este sitio estás aceptando el uso de cookies.política de cookies. Pinche el enlace para más información sobre las cookies

ACEPTAR
Aviso de cookies