WannaCry, un año después

WannaCry, un año después

7 comentarios Facebook Twitter Flipboard E-mail
WannaCry, un año después

Aquella mañana del 12 de mayo de 2017 nos despertábamos con la noticia de un ciberataque a Telefónica. Aquel suceso era en realidad parte de un ciberataque masivo realizado con un ransomware llamado WannaCry.

Ha pasado algo más de un año de aquello, y durante todo este tiempo hemos visto cómo los ataques de ransomware se convirtieron en una de las grandes amenazas en el segmento de la ciberseguridad.

Así atacó WannaCry

Aquel problema puso de manifiesto la relevancia de estos ataques de ransomware, y en esas primeras horas pudimos conocer cómo la reacción de Telefónica y otras empresas afectadas fue la de notificar a sus empleados que apagaran sus ordenadores para evitar que el problema les afectase o se propagase aún más.

Las medidas fueron más allá en esta y otras empresas, que trataron de minimizar los daños causados por WannaCry. Telefónica pronto dejó claro que este no era un ciberataque específicamente dirigido a ellos, sino que era un ataque masivo que afectó según las estimaciones a más de 300.000 máquinas en 150 países.

Lo que hacía este ransomware era encriptar todos los datos del equipo de forma que el usuario no pudiera acceder a ellos salvo con una clave que solo podrían obtener previo pago de un rescate ('ransom', de ahí el nombre de esta familia de ataques) en criptodivisas. En concreto los responsables pedían un rescate de aproximadamente 300 dólares en forma de bitcoins.

Los primeros días tras el ataque fueron de actividad frenética, y pronto aparecerían algunas soluciones parciales al problema, como el célebre mecanismo 'kill switch' descubierto casi por accidente. Marcus Hutchins, el responsable de aquel descubrimiento, acabaría siendo detenido por el FBI meses después por haber realizado ataques de hacking entre 2014 y 2015.

Soluciones de emergencia: prevenir es mejor que curar

Microsoft pronto corregiría el problema que afectaba a sus sistemas operativos, y de hecho hasta publicó un parche para Windows XP, un sistema operativo que hace años que dejó de tener cualquier tipo de soporte.

Fig1 Open Smb El puerto 445 utilizado por WannaCry para propagarse sigue abierto en cientos de miles de máquinas incluso después del ataque. Paradójicamente la situación no ha mejorado. Es como si no aprendiéramos de nuestros errores, o no quisiéramos hacerlo.

Entre esas soluciones estaba 'WannaCry File Restore', una herramienta de Telefónica que recuperaba los archivos en ciertos casos, pero el ataque seguía presente no solo en su formato original, sino también con variantes que por ejemplo corregían el problema del kill-switch que lo hacía menos efectivo de lo que probablemente imaginaban sus creadores.

Aquel ciberataque dejó más claras que nunca las consecuencias que podía tener un problema de seguridad de estas dimensiones. No solo en empresas, sino también en servicios básicos como el de la Sanidad, en el que estos ciberataques podrían ser responsables directos de muertes de pacientes por no poder mantener los sistemas informáticos de un hospital, por ejemplo.

WannaCry sigue siendo un misterio en muchos aspectos

La investigación que trató de descubrir a los responsables del problema no fue concluyente, pero varios analistas de seguridad de diversas empresas estudiaron el código del malware y dedujeron que este ciberataque masivo procedía de Corea del Norte. Aunque los argumentos eran razonables y pusieron a ese país en el punto de mira —Estados Unidos responsabilizó a ese país formalmente—, lo cierto es que no había seguridad completa al respecto.

Wannacry1

Mientras tanto la picaresca también se nutrió del fenómeno: hubo quien trató de difundir en medios y redes sociales mensajes a los afectados para que enviaran el pago del rescate a una cartera de bitcoins distinta de la que indicaban los creadores del ransomware. Aquella cuenta original tuvo un total de 349 transacciones por valor de 51,54 BTC, el equivalente a 371.000 euros con el valor actual de estas criptodivisas en el momento de escribir el artículo.

El problema de recaudar el rescate en bitcoins está en que esas carteras son públicas y se puede intentar seguir el rastro del dinero (virtual) a medida que se va moviendo. Los responsables del ransomware recolectaron esos bitcoin en tres carteras distintas, y varios meses después del ataque acabaron moviendo el dinero a otros sitios. Eso y la alta volatilidad de los bitcoin ha hecho que los cibercriminales estén dejando de pedir rescates en bitcoins.

Una de copias de seguridad, por favor

La vulnerabilidad de Windows de la que se aprovecharon los responsables de WannaCry llevaba años al descubierto, y de hecho la propia NSA había aprovechado el exploit llamado EternalBlue liberado por el grupo de hackers llamado The Shadow Brokers para sus tareas de espionaje y monitorización masiva. Aquella variante afectaba a diversas versiones de Windows, pero meses después se ha confirmado que al menos tres variantes llamadas EternalChampion, EternalRomance, y EternalSynergy aún seguían afectando a varias versiones de Windows, aunque en menor número que WannaCry.

Notpetya

La efectividad de aquel ataque masivo hizo que lamentablemente este tipo de sucesos se hicieran mucho más frecuentes a partir de ese momento. Menos de dos meses después de la aparición de WannaCry atacaba NotPetya, un nuevo ransomware que causó el caos en diversas organizaciones. Una vez más se volvió a poner de manifiesto la importancia de realizar copias de seguridad y de aplicar las actualizaciones inmediatamente, algo que también fue causa de la virulencia de estos ciberataques.

Esas medidas básicas siguen aún así sin ser aplicadas por multitud de empresas, que o bien no pueden hacerlo en ciertos casos por conflictos con software existente o bien no cuentan con políticas de ciberseguridad adecuadas. Eso ha hecho que incluso meses depués WannaCry siga infectando a algunos organismos y empresas como LG, el sistema de radares de tráfico de una región de Australia o inclugo Boeing, que se infectó a finales de marzo de 2018.

Eternal Blue parece efectivamente eterno

La base de WannaCry, Eternal Blue, ha sido además responsable de que otros ciberataques algo distintos también se hayan convertido en tendencia: aquellos que minan criptodivisas en nuestros equipos sin que nos enteremos. Algunos de estos malwares incluso compiten entre sí para "matarse" y que solo quede uno, aquel que es el que acaba minando solito las criptodivisas con el gasto energético y de recursos que eso implica en nuestros PCs y portátiles.

Ataques

De hecho los ataques de ransomware han crecido de forma muy notable .En CheckPoint analizaban esa evolución y contaban cómo en 2015 se estimaba que este tipo de ciberataques causaron 325 millones de dólares en daños.

En 2017 esa cantidad se multiplicó por 15, pero es que otro estudio de Recorde Future mostraba cómo antes de WannaCry se registraron 635 variantes de malware, y en febrero de 2018 ese número había crecido a 1.105 variantes.

Eternal

El exploit de Eternal Blue que como decimos fue el germen de todo este desastre, sigue activo. Lo demuestra un estudio de la empresa de seguridad Rapid7 que de hecho creó el llamado Project Heisenberg para monitorizar la actividad entorno a esta vulnerabilidad.

Esos intentos de ataque no han hecho más que aumentar en los últimos meses, y no parece que estemos ni mucho menos a salvo de futuros (grandes) sustos en este sentido. ¿Es que no aprendemos?

En Xataka | Ni Linux ni macOS te salvarán del ransomware: la condena de Windows es su popularidad

Comentarios cerrados
Inicio