- Publicidad/Advertisement -

Ayer 12 de mayo quedó marcado en el calendario mundial como el #RansomwareDay dado el impacto mediático de la distribución del ransomware –malware que infecta un equipo y lo bloquea cifrando sus datos hasta que se realice un pago-, por lo que ahora quedará en la mente colectiva como el ataque de ransomware más grande que conozca la historia del Internet. Este ataque que emplea según algunos expertos vulnerabilidades Zero Day descubiertas por la National Security Agency o NSA, (en español la Agencia de Seguridad Nacional), para ser empleadas como ciberarmas y que fueron extraídas hace algunos meses atrás en un paquete completo junto a otras ciberarmas, por el grupo The Shadow Broker, ha puesto a muchos equipos de seguridad informática en el planeta a correr para mitigar las infecciones del primer mega ataque realizado con éstas ciberarmas.

De hecho, la reconocida firma de ciberseguridad rusa, Kaspersky Lab, había asegurado ayer en horas de la tarde que este cibertaque llegó a golpear al menos unos 74 países, entre ellos, España, Italia, Reino Unido, Australia, Estados Unidos, Rusia, Japón, Turquía, Filipinas, Vietman, Corea del Sur, Sudáfrica, pero también Brasil, Venezuela, Chile, Argentina, México entre otros que se han ido sumando a la lista en todo el mundo. No obstante, la lista de países que reportaban haber sido atacados con el ransomware en horas de la noche de ayer, ya llegaban a 99 de acuerdo con un informe de la firma detrás del antivirus Avast (que mantenía en observación unas 57.000 infecciones), por lo que algunos analistas de seguridad han estimado que de no tomarse las medidas preventivas (principalmente en los usuarios), este ataque podría alcanzar unos 140 países en 48 horas.

El Ataque ¿publicidad para Bitcoin?

Aunque este ataque ha tenido un impacto significativo en la infraestructura global afectando varias decenas de miles equipos bajo Windows pertenecientes a empresas y organismos públicos como FedEx, a nivel mundial, Telefónica de España, MegaFon y el Ministerio del Interior de Rusia, entre otras empresas de renombre y organismos públicos de importancia en varios países, el éxito monetario no ha sido seguramente el esperado por los cibercriminales. El caso más sonado por su importancia, la red de hospitales del British National Health Service o NHS por sus siglas en inglés (en español Servicio Nacional de Salud británico), que virtualmente tiene secuestrados los datos de los pacientes, no parece haber aumentado significativamente el saldo de la billetera (Wallet) Bitcoin12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw“, donde se deben depositar los USD300 y en otros casos los USD600 dólares que solicitan los atacantes para liberarlos.

- Publicidad/Advertisement -

La realidad es que para la magnitud del ataque el Wallet posee unos pocos pagos, demostrando que la modalidad de secuestro de equipos mediante el ransomware no tiene ni tendrá el efecto deseado. En una operación como ésta, habría que esperar cientos o miles de transacciones para solicitar la liberación de sus datos, pero la verdad es que apenas hay al momento de redactar esta nota unos 5.80361565 BTC (unos diez mil dólares aproximadamente) provenientes de tan sólo 24 operaciones, situación que seguramente desestimulará este tipo de ataques por no poseer un verdadero rédito. Se aconseja no pagar el rescate para evitar incentivar este tipo de ataques en el futuro. Si usted paga esta semana, nadie le garantiza que el próximo mes no tendrá que pagar nuevamente en una infección.

Aunque llama la atención que el medio para solicitar los pagos sea Bitcoin y no Monero o Zcash por citar algunas otras criptomonedas más pensadas para cuidar el anonimato, por lo que muchos consideran que se aprovechó el auge en el precio del Bitcoin para lanzar este ataque, ya que sin duda, si decenas de miles empiezan a comprar la moneda de Satoshi Nakamoto, el precio podría dispararse a niveles no imaginados o ponderados hasta ahora, pero la presión sobre el mercado de al menos 50.000 transacciones de USD300 dólares en promedio crearían un subida del precio impresionante del Bitcoin.

Pero en todo caso sería oportuno preguntarse ¿este tipo de ataques son para sacar un rédito especulativo criminal o por el contrario, se busca que las personas sigan relacionando al Bitcoin con el crimen en Internet? Sólo el tiempo nos dará la respuesta que buscamos.

El pánico de local a global

Desde el punto de vista informativo los primeros reportes se dieron a la prensa en España, cuando empleados de una de las empresas de telecomunicaciones más grandes del mundo, Telefónica, recibieron un mensaje de email desde la Dirección de Seguridad de la empresa, que indicaba que debían apagar sus equipos de forma inmediata, con la finalidad de mitigar la expansión del malware. Algo que desató una tormenta en las redes sociales y los noticieros televisivos de ese país, llegando afectar inclusive a la empresa en el mercado bursátil con una caída del 0,15%. Posteriormente, al observarse que surgieron nuevas incidencias de reportes en otros países como Italia, Reino Unido, Ucrania, Rusia, Japón, Estados Unidos, los españoles se dieron cuenta que el ataque había pasado de una simple amenaza local a una seria amenaza global.

Ante esta situación, preocupados por reportes de ataques a varias empresas y bancos en España, el Centro Nacional de Inteligencia (CNI) de ese país, se vió obligado a tomar medidas, para mitigar la expansión del malware ordenando el apagado general de equipos en esa institución y expandiendo la orden a otras dependencias neurálgicas de ese país. El Centro Criptológico Nacional (CCN) de España, adscrito al CNI, confirmó el ataque masivo de ransomware a varias organizaciones en España y Europa, aprovechando una vulnerabilidad de los sistemas Windows, según informó en un comunicado.

Aunque muchas empresas con sistemas críticos y con data sensible se vieron afectados a nivel global, el caso que más llamó la atención de los medios ha sido el secuestro de los equipos informáticos de diversos hospitales y centros médicos de Inglaterra. Al menos 22 Hospitales y Centros de Salud de Londres, Blackpool, Nottingham, Cumbria y Hertforshire, entre otras áreas, habían sido afectados por el malware, obligándoles a apagar sus equipos informáticos y por ende afectando el servicio de atención de pacientes. Motivado a esto, el sistema de salud público inglés, informó vía Twitter: “Estamos tomando todas las medidas preventivas posibles para proteger nuestros sistemas y servicios locales del NHS“. Así mismo informó en un comunicado los detalles del ataque con el ransomware WannaCry, en su cuenta de la citada red social.

Las autoridades sanitarias también han solicitado a los ciudadanos que eviten contactar con su centro médico “si no es absolutamente necesario”, difundiendo un número de teléfono para atender los casos médicos no urgentes. Cabe señalar, que el sistema de salud de Reino Unido, pero especialmente el de Inglaterra está digitalizado en su totalidad, por lo que la data con el historial tanto médico como el de las medicinas de cada paciente visto por las diferentes dependencias en ese país, no se encuentran en éstos momentos accesibles por el personal de dichos hospitales y centros de salud. En consecuencia, muchos tendrán que esperar algunas horas o días, hasta que se restablezca el sistema para poder continuar con sus tratamientos y citas médicas.

La premier Theresa May tuvo que intervenir para calmar a los medios y las redes, ya que el evento les hizo pensar a todos que había sido un ataque sólo contra instituciones de ese país, por lo que manifestó a los medios “Somos conscientes de que un número de dependencias del NHS ha sufrido un ataque de ransomware“. “El objetivo no ha sido sólo el NHS, sino que esto forma parte de un ataque internacional y muchas organizaciones se han visto afectadas“. Igualmente, Theresa May informó a la población que el National Cyber Security Centre o NCSC y el Government Communications Headquarters o GCHQ (en español el Centro Nacional de Ciberseguridad y Cuartel General de Comunicaciones del Gobierno), están trabajando mano a mano con los servicios digitales del NHS para dar apoyo a los departamentos afectados y garantizar la protección y la seguridad de los pacientes, añadiendo que hasta ese momento para tranquilidad de los ciudadanos “No tenemos constancia de que los datos se hayan visto comprometidos.”

El GCHQ, es un organismo paralelo al MI6 (Servicio Secreto Británico) y se desempeña exclusivamente en la rama de ciberseguridad de los servicios de inteligencia británicos y entre sus funciones se incluyen la inteligencia de señales (SIGINT), que supone la monitorización, intercepción y descifrado de datos, sobre todo en la lucha contra el terrorismo y el crimen organizado; y la information assurance (IA), una especialización de la seguridad de la información, para proteger los sistemas de comunicaciones informáticas del gobierno británico, el cual tuvo su origen en Bletchley Park, la mansión victoriana que albergó la primera computadora Colossus que permitió romper los códigos de la máquina Enigma alemana, y donde trabajó como criptoanalista el matemático Alan Turing. Esta agencia ahora tendrá la misión por orden de May, de encargarse de la investigación y resolución de este ciberataque contra al menos 22 hospitales de esa nación. Más allá de las fronteras de Inglaterra, en Alemania, los servicios de ferrocarriles se vieron afectados de igual forma por el malware, paralizando en algunos casos las operaciones de ventas de boletos.

Sin embargo, mientras el pánico se sentía en varios países del orbe, en latinoamérica la situación parecía controlada, con algunos reportes e incidencias menores en sedes de Movistar filial de Telefónica de ataque con el ransomware en algunos países como México, Brasil, Panamá, Colombia, Argentina, Chile, Perú y Venezuela.que hacía estragos en otros países del mundo.

El mapa del desastre

De acuerdo a la Web intel.malwaretech.com, la propagación de este malware ha sido impresionante, pero lo que poco se ha mencionado es que WannaCry o el “Wana Decrypt0r 2.0” (como dice la pantalla que muestra el malware) es que éste se ha aprovechado de una brecha de seguridad detectada en el sistema operativo Windows, la cual fue reconocida, informada y corregida por Microsoft el 14 de marzo de este año, por lo que pareciera que muchos equipos de ciberseguridad no han sido diligentes en aplicar los parches correspondientes a sus sistemas Windows. No obstante, la realidad es que en grandes empresas (algo conocido por personas que hayan trabajado en Soporte de TI), existen varios pasos de verificación de parches en laboratorios con equipos que están operativos dentro de las organizaciones, pues en ocasiones algunos parches ocasionan fallos de incompatibilidad, por lo que deben ser analizados y estudiados antes de ser colocados masivamente en equipos de producción, parte de ello lo explica el hacker Chema Alonso, encargado del área de Big Data e Innovación de Telefónica, en su sitio Web personal sobre lo que ha ocurrido con este proceso.

¿Quién es Chema Alonso?

Chema Alonso, es un hacker de la vieja escuela y con mucha personalidad, que le ha llevado a ser uno de los hackers más reconocidos de Europa. Desde hace un año aproximadamente es el CDO de la empresa Telefónica, uno de los cargos de más alta responsabilidad dentro de esa empresa. Además, es fundador y CEO de Eleven Paths una empresa filial de Telefónica Digital centrada en la innovación en productos de seguridad y Director General de Global Security Business en la unidad B2B de Telefónica Business Solutions.

Chema Alonso, anteriormente trabajó y dirigió Informática 64 durante 14 años, empresa centrada en seguridad informática y la formación de especialistas en ciberseguridad. Es Dr. en Seguridad Informática graduado en la Universidad Rey Juan Carlos de Madrid, Ingeniero Informático por la URJC e Ingeniero Informático de Sistemas por la Universidad Politécnica de Madrid, que además lo nombró Embajador Honorífico de la Escuela Universitaria de Informática en el año 2012.

Es ponente habitual e invitado de honor en conferencias de ciberseguridad de renombre internacional como la BlackHat, Defcon, ShmooCon, TorCon, y otras más donde ha participado exponiendo temas de ciberseguridad importantes que han marcado tendencia dentro del mundo del hacking. También ha publicado decenas de artículos en congresos académicos y revistas técnicas tratando temas sobre seguridad informática y por si fuera poco, Chema Alonso, también es coautor de 3 libros dedicados a las seguridad informática. Se puede estar al día de sus opiniones y análisis en el mundo de la ciberseguridad en su blog personal titulado “Un Informático en el Lado del Mal”.

WannaCry, el vehículo de propagación del malware

El vehículo empleado es un malware denominado Wanna Decryptor, comunmente llamado WannaCry, el cual se ejecuta como un ransomware dentro de los equipos con sólo descargar el archivo infectado desde un email. El sistema operativo afectado es Windows, en sus versiones: Microsoft Windows Vista SP2, Windows Server 2008 SP2 y R2 SP1, Windows 7, Windows 8.1, Windows RT 8.1, Windows Server 2012 y R2, Windows 10 y Windows Server 2016, cifrando todos los archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows que estén conectados a la misma red, con la finalidad de efectuar un secuestro de los datos del equipo hasta que no sea pagada la cantidad por el rescate. Aunque en un principio se había señalado que en España, Bancos y empresas como BBVA, Santander o KPMG, las mismas han desmentido públicamente que hasta este momento hayan sufrido ataque alguno por el ransomware.

Vale señalar que no es la primera vez que ocurre un ataque de este tipo, pues hace pocos meses atrás, fue lanzado un ataque similar contra un hospital privado de Los Ángeles, en los Estados Unidos, cuyos directivos accedieron a pagar unos USD17.000 dólares en Bitcoin, para recuperar toda la información encriptada sobre sus pacientes. Igualmente, a principios de 2017, un hotel en Austria sufrió un ataque del mismo tipo que impedía acceder a las habitaciones y el sistema de reservaciones, no obstante, los investigadores hasta el momento no han indicado que hayan conexiones entre dichos ataques y el actual.

Sin embargo, en este tipo de ataques, los hackers piden el pago del rescate en un plazo de unos pocos días (máximo 5) bajo amenaza de doblar el precio a término del primer plazo para poder desencriptar los archivos secuestrados. Luego, si la víctima no ha realizado el pago solicitado, los datos no son recuperados nunca más, pues en algunos casos se corre un programa de borrado recursivo que sobreescribe los datos para dejarlos inutilizados mientras en otros, simplemente dejan el equipo encriptado.

¿Quién es el culpable?

Según la agencia Reuters, todo apunta a que la culpa de un desastre de este tipo es exclusivamente de la NSA, pues dicha agencia poseía, un cúmulo de información sobre vulnerabilidades del tipo Zero Day, que eran empleadas como herramientas para efectuar sus ciberoperaciones clandestinas y que fueron robadas por un grupo de hackers que desató el caos en Internet, ya que luego de hacerse con el paquete de herramientas, las colocaron a la venta en la Deep Web por lo que cientos de organizaciones criminales del mundo, pudieron hacerse con una copia para si mismos, con la finalidad de emplearlas también en sus ciberoperaciones delincuenciales.

En todo caso, el mal manejo de la información, que no fue compartida oportunamente con las empresas de software involucradas para que fueran reparadas las vulnerabilidades, ha desatado el mayor ataque de ransomware jamás realizado en Internet. Ahora y con razón, varios analistas de seguridad, entre ellos, Edward Snowden, (ex-empleado de la CIA y de la NSA), señalan abiertamente a la NSA por lo sucedido. Pero la cosa se pone peor, pues el paquete de herramientas ahora en manos de todos, también posee programas para atacar vulnerabilidades en otros sistemas operativos como Linux, Android de Google, iOS y Mac OS de Apple, por lo que ésto es quizás el primer ataque a gran escala que veremos realizado con dichas herramientas, pero seguro no será el último.

Cómo protegerse ante un ataque de Ransomware

  1. Actualizaciones del SO: Es primordial mantener cualquier sistema operativo actualizado con los últimos parches de seguridad, para tener un equipo en funcionamiento y evitar ataques que aprovechan vulnerabilidades conocidas.
  2. Copias de seguridad actualizadas: Es importantísimo mantener una copia de seguridad de nuestros datos y documentos más importantes en un equipo, disco duro o pendrive que no se encuentre en línea para proceder a una reinstalación del S.O. en casos de ataques por ransomware que no puedan ser resueltos por los equipos de las empresas de ciberseguridad. Los que emplean carteras de Bitcoin y Altcoins, deben mantener sus criptomonedas en Wallets o billeteras lejos del alcance de hackers y crakers. En su defecto, es importante colocar los Wallets en equipos que sólo se usan para ese fin y se encuentren aislados del ámbito de la red principal para que no puedan ser detectados por scanners que corran en equipos cercanos.
  3. No abrir archivos adjuntos de correos electrónicos sospechosos: El malware WannaCry se ha propagado viralmente por medio de correos electrónicos de SPAM y reales, por lo que es de vital importancia no abrir emails no confirmados ni descargar sus contenidos a nuestros equipos.

Para finalizar, te sugerimos seguir las cuentas de @josephfcox, @Snowden y @MalwareTechBlog, para conocer lo que sucede con el #WannaCry.

Si te ha gustado esta nota, puedes considerar hacer una donación, patrocinar nuestra Revista o simplemente regalar una propina, ingresando en este Link: EspacioBit.com.ve: Donaciones y Patrocinios 🙂.

Fuentes: ElLadodelMal.com: El ataque del ransomware #WannaCry, Twitter.com: @chemaalonso, Facebook.com: @chema.alonso.maligno, Google.com (G+): +MalignoAlonso, Linkedin.com: Chema Alonso/25/42a/810, Google.com (G+): +elladodelmal, Telegram.me: @Elladodelmal, YouTube.com: Chemai64, Instagram.com: @chemaalonso, Twitter.com: @ElevenPaths, SlideShare.net: chemai64.

Otros Links de interés: Intel.MalwareTech.com: botnet wcrypt, Twitter.com: MalwareTechBlog, Twitter.com/MalwareTechLab, Blogs.Technet.Microsoft.com: Customer Guidance for WannaCrypt attacks, Microsoft.com: Securty Threat Ransom:Win32/WannaCrypt, CCN-CERT.CNI.es: Identificado ataque de ransomware que afecta a sistemas Windows.

Compártelo - Share it!
  • Yum
- Publicidad/Advertisement -

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.