Como seguramente ya sabrá, el viernes se produjo un incidente de ransomware sin precedentes en los hospitales del NHS. Según los informes, se ha encontrado en unos 100 países y ha afectado a unas 75.000 máquinas (y estas cifras seguían aumentando al cierre de esta edición).

Para ayudarle, hemos pensado en elaborar una anatomía de cómo se produjo, recopilada de diversas fuentes, para ayudarle a comprender mejor cómo se produjo y cómo se generalizó tan rápidamente.

Pero antes, esperamos que haya podido encender su ordenador hoy sin que haya sido infectado por malware, ya que muchos miles en todo el mundo no serán tan afortunados. Merece la pena hacer saber a sus amigos y colegas con Windows que es importante que su sistema esté totalmente parcheado con la actualización de seguridad «MS17-010» – https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Concienciación por correo electrónico

Es probable que todo este ataque comenzara con un ataque de spam. Varias agencias de noticias han informado de que el malware que desencadena el ransomware se instaló después de que un usuario abriera un documento de Word que contenía macros.

Para los que nos dedicamos a la ciberseguridad, estos ataques son habituales. Sin embargo, éste es único por lo extendido que se ha vuelto. El ataque continuó durante el fin de semana, con los medios de comunicación estatales chinos informando de que 29.000 instituciones de toda China habían sido infectadas por el ciberataque global de ransomware. Esto también ha continuado en la mañana del lunes, con el Gobierno Federal de Australia confirmando que las empresas privadas se han visto afectadas por el ataque de ransomware.

¡El accesorio de la perdición!

Así que, una vez que el correo electrónico llega y el usuario abre los documentos adjuntos, ¡se acabó el juego!

Pueden haber ocurrido varias cosas:

En primer lugar, es probable que una vez lanzado, el malware se haya reenviado a todos los contactos de la lista de contactos de correo electrónico del usuario. Esta es una de las razones por las que el malware podría viajar tan lejos, tan rápido.

Entonces el malware se habrá instalado en la máquina local. Lo más probable es que esto también haya activado el ransomware en la máquina local. Esta variante concreta del ransomware recibe varios nombres: WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY. Cifra todos los archivos locales que puede y mostrará una pantalla como esta:

La idea es que, una vez que la encriptación se afiance, el usuario tenga que pagar para volver a acceder a sus archivos. La cantidad solicitada es de 300 dólares. Si no han pagado en 72 horas, la cantidad se duplica. Y si no han pagado en una semana, se borrarán todos los archivos. Por supuesto, como ocurre con todos los ransomware, no hay garantías de que el pago dé lugar a la desencriptación de los archivos. El pago debe efectuarse utilizando Bitcoins – para más información sobre esta moneda digital consulte aquí

EternalBlue

No deje que el nombre le engañe, el nombre EternalBlue debería estar infundiendo temor en muchas organizaciones en estos momentos. En algún momento del pasado, la Agencia de Seguridad Nacional de EE.UU. encontró un fallo en ciertas versiones de Microsoft Windows que les permitía acceder a la máquina de forma remota e instalar software. En un extraño giro de los acontecimientos, a principios de este año, la propia NSA fue pirateada y los piratas informáticos encontraron detalles de este fallo y de una serie de otros. Una vez que esto se hizo de dominio público, Microsoft lanzó un parche para todas las versiones compatibles de Windows.

Sin embargo, hay varias versiones para las que no se han publicado parches, sobre todo Windows XP y Windows Server 2003. El malware que llegó el pasado viernes era capaz de escanear la red de las organizaciones en busca de máquinas que estuvieran ejecutando estas versiones no soportadas de Windows y, a continuación, utilizar este exploit (cuyo nombre en código es ‘EternalBlue’) para instalarse a través de la red en la máquina detectada, cifrando así dicha máquina.

Esta técnica es otra de las razones por las que el problema pudo propagarse tan rápidamente. También es una de las principales razones por las que el NHS se vio tan afectado. El NHS tiene fama de utilizar software y sistemas operativos obsoletos, incluso para algunos de sus sistemas más cruciales.

Una última cosa que mencionar. Es posible que haya leído los informes sobre el «héroe accidental» que ha conseguido evitar que se infecten más máquinas. Al parecer, antes de que el ransomware haga efecto y cifre las máquinas, se ‘registra’ en un dominio de Internet. El dominio es ‘www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com’.

Esencialmente, el virus comprueba si ese sitio web está activo y, si lo está, el virus sale en lugar de infectar la máquina. Esto parece ser un interruptor de apagado que los hackers han incluido para permitirles matar la campaña de ransomware si lo necesitaban. El dominio de arriba nunca fue registrado, por lo que el sitio web no habría estado activo. Pero un analista de seguridad registró el dominio (por una tarifa de 8 libras esterlinas), y esto hizo que el sitio web existiera y, por lo tanto, el ransomware ya no infectará más máquinas.

Sin embargo, los hackers pueden realizar pequeños retoques en su código y volver a lanzar el ransomware sin este interruptor de desactivación. Los efectos de esto podrían ser mucho más devastadores que lo que vimos el viernes.

Sólo el tiempo dirá si estos ataques se intensifican o si hemos visto lo peor de EternalBlue. Sin embargo, los ataques de phishing seguirán produciéndose. Para evitar que su empresa se vea envuelta en un incidente global en el futuro, quizá le interese invertir en nuestro software especializado en simulación de phishing –  MetaPhish que aumenta la sensibilidad de sus empleados ante los correos electrónicos fraudulentos. También disponemos de un curso eLearning Essential Phishing Awareness que cubre cómo identificar correctamente un phishing y qué hacer cuando detecta uno.  

Hable con nosotros hoy mismo para obtener más información sobre cómo podría salvar a su organización de un ataque de phishing.