¡Pide presupuesto en 2 min! ✓
Ciberseguridad

Wannacry: un ransomware que causó estragos

9 Mins read

WannaCry es un gusano de ransomware que, en mayo de 2017, infectó varias redes de ordenadores. Después de infectar los ordenadores con Windows, encripta los archivos en el disco duro del PC, haciéndolos imposibles de acceder para los usuarios, luego exige un pago de rescate en bitcoin para descifrarlos.

¿Es tu ordenador vulnerable al ataque del ransomware WannaCry? Sigue leyendo para descubrir mientras exploramos todo lo que hay que saber sobre el ataque del ransomware WannaCry.

¿Qué es el virus Wannacry?

WannaCry es un ejemplo de crypto ransomware, un tipo de software malicioso (malware) utilizado por los cibercriminales para extorsionar dinero.

El ransomware hace esto al cifrar archivos valiosos, por lo que no puedes leerlos, o al bloquearlos de tu ordenador, por lo que no puedes usarlo.

El ransomware que usa cifrado se llama crypto ransomware. El tipo que lo bloquea de tu ordenador se llama ransomware de taquilla.

Al igual que otros tipos de crypto-ransomware, WannaCry toma tus datos como rehenes y promete devolverlos si pagas un rescate.

WannaCry va dirigido a ordenadores que utilizan el sistema operativo de Microsoft Windows. Cifra los datos y exige el pago de un rescate en la criptomoneda Bitcoin para su devolución.

El ransomware WannaCry consta de múltiples componentes. Llega al ordenador infectado en forma de cuentagotas, un programa autónomo que extrae los otros componentes de la aplicación integrados en sí mismo. Esos componentes incluyen:

  • Una aplicación que cifra y descifra datos
  • Archivos que contienen claves de cifrado
  • Una copia de Tor

Una vez iniciado, WannaCry intenta acceder a una URL codificada; si no puede, procede a buscar y cifrar archivos en una gran cantidad de formatos importantes, que van desde archivos de Microsoft Office a MP3 y MKV, dejándolos inaccesibles para el usuario. Luego muestra un aviso de rescate, exigiendo 300 dólares en Bitcoin para descifrar los archivos.

¿Cómo y cuándo se originó? ¿Quién lo creó?

WannaCry es una versión interesante de ransomware debido a la forma en que se propaga. La mayoría del ransomware comienza con un correo electrónico de phishing relativamente simple que alienta a las víctimas a hacer clic en el enlace y descargar el malware.

WannaCry, abreviatura de Wanna Decryptor, se propaga a través del protocolo Server Message Block, que utilizan los ordenadores Windows para compartir archivos. Eso hace que sea muy fácil para el malware saltar entre diferentes ordenadores que están en la misma red de Windows.

Esto hace que el ransomware sea particularmente peligroso para los ordenadores empresariales y escolares que se conectan regularmente en grandes redes. Incluso logró infectar a organizaciones gubernamentales de alto nivel en países como el Reino Unido.

Los orígenes de WannaCry se remontan a mayo de 2017, cuando un grupo de misteriosos piratas informáticos que se autodenominan Shadow Brokers lanzaron públicamente un tesoro de código NSA robado. Las herramientas incluían una técnica de piratería secreta hasta entonces conocida como EternalBlue, que explota fallos en un protocolo de Windows conocido como Server Message Block para hacerse cargo de forma remota de cualquier ordenador vulnerable.

Varios investigadores de seguridad comenzaron a trabajar para tratar de descubrir los orígenes de WannaCry. Se indicó que el código podría tener un origen norcoreano. WannaCry había estado circulando durante meses antes de que explotara en Internet el 12 de mayo de 2017. Esta versión anterior del malware, llamada Ransom, tenía puntos en común importantes en las herramientas, técnicas e infraestructura utilizadas por los atacantes con las utilizadas por el Grupo Lazarus.

El Grupo Lazarus es un grupo de piratería que ha sido vinculado a Corea del Norte. Comenzando su carrera en 2009 con crudos ataques DDoS en los ordenadores del gobierno de Corea del Sur, se han vuelto cada vez más sofisticados, pirateando a Sony y logrando atracos a bancos.

El ataque de Wannacry en 2017 en cifras

El ataque del ransomware WannaCry golpeó alrededor de 230.000 ordenadores en todo el mundo.

Una de las primeras empresas afectadas fue la empresa española de telefonía móvil, Telefónica. Para el 12 de mayo, miles de hospitales y cirugías del NHS en todo el Reino Unido se vieron afectados.

Un tercio de los fideicomisos del hospital del NHS se vieron afectados por el ataque. Según informes, las ambulancias fueron desviadas, lo que dejó a las personas que necesitaban atención urgente. Se estimó que le costó al NHS la friolera de  92 millones de libras después de que se cancelaron 19,000 citas como resultado del ataque.

A medida que el ransomware se extendió más allá de Europa, los sistemas informáticos en 150 países quedaron paralizados. El ataque del ransomware WannaCry tuvo un impacto financiero sustancial en todo el mundo. Se estima que este delito cibernético causó pérdidas de 4 mil millones de dólares en todo el mundo.

¿Cómo se detuvo?

El parche que evitaba las infecciones de WannaCry ya estaba disponible antes de que se iniciara el ataque: el boletín de seguridad de Microsoft MS17-010, publicado el 14 de marzo de 2017, actualizó la implementación de Windows del protocolo SMB para evitar la infección a través de EternalBlue.

Sin embargo, a pesar del hecho de que Microsoft había marcado el parche como crítico, muchos sistemas aún no se habían parcheado en mayo de 2017, cuando WannaCry comenzó su rápida expansión.

En los sistemas infectados que no descargaron la actualización, poco puede hacerse aparte de restaurar archivos desde una copia de seguridad. De ahí la importancia de hacer una copia de seguridad de tus archivos. Si bien aquellos que monitorizan las billeteras de bitcoin identificadas en el mensaje de extorsión dicen que algunas personas están pagando el rescate, hay poca evidencia de que estén recuperando el acceso a sus archivos.

Fue un joven británico experto en informática, Marcus Hutchins, de 25 años, quien ayudó a detener el virus Wannacry.

¿Cómo afecta el virus Wannacry a los ordenadores?

Cuando se ejecuta, WannaCry verifica si el dominio del interruptor está disponible. Si no lo está, el ransomware cifra los datos del ordenador y luego intenta explotar EternalBlue para propagarse a más ordenadores en Internet y en la misma red.

Un ordenador infectado buscará en la red de destino dispositivos que acepten tráfico en los puertos TCP 135-139 o 445, lo que indica que el sistema está configurado para ejecutar SMB.

Después establecerá una conexión SMBv1 al dispositivo y usará el desbordamiento del búfer para controlar el sistema e instalar el componente de ransomware del ataque.

Al igual que con otros ransomware, el malware muestra un mensaje informando al usuario que sus archivos han sido encriptados y exige un pago de rescate de 300 dólares en Bitcoin en tres días o 600 dólares en siete días.

Se utilizan tres direcciones de Bitcoin codificadas para recibir pagos de las víctimas. Al igual que con todas las billeteras de Bitcoin, las transacciones y los saldos son de acceso público, pero los propietarios siguen siendo desconocidos.

Los expertos en seguridad aconsejan a los usuarios afectados que no paguen el rescate porque el pago a menudo no da como resultado la recuperación de datos.

¿Qué empresas se han visto afectadas por este ransomware?

La escala fue que WannaCry no tenía precedentes con estimaciones de alrededor de 200.000 ordenadores infectados en 150 países, con Rusia, Ucrania, India y Taiwán como los más afectados.

Una de las agencias más grandes afectadas fue el Servicio Nacional de Salud, el sistema nacional de salud financiado con fondos públicos para Inglaterra.

Hasta 70.000 dispositivos incluyendo ordenadores, escáneres de resonancia magnética, refrigeradores de almacenamiento de sangre y equipos de teatro pueden haber sido afectados. Esto llevó a algunos servicios del NHS a rechazar emergencias no críticas y desviar ambulancias.

Y Wannacry afectó también a España.Telefónica, una de las compañías de telecomunicaciones y proveedor de redes móviles más grandes del mundo, fue de las primeras empresas importantes en reportar problemas originados ​​por WannaCry.

FedEx, Nissan, el ministerio del interior ruso, la policía de Andhra Pradesh, India, universidades de China, Hitachi, la policía china y Renault también se vieron afectados.

¿Sigue siendo un virus peligroso?

A pesar de toda la publicidad, los parches de actualizaciones y las mejores prácticas para ayudar a evitarlo, WannaCry todavía sigue activo y está infectando los sistemas. En marzo de 2018, Boeing fue golpeado con un presunto ataque WannaCry. Sin embargo, la compañía afirmó que causó poco daño, afectando solo unas pocas máquinas de producción. Boeing pudo detener el ataque y recuperar rápidamente los sistemas afectados.

El mayor peligro hoy son las variantes de WannaCry, o más específicamente, el nuevo malware basado en el mismo código EternalBlue que Wannacry. En mayo de 2018, ESET lanzó una investigación que mostró que las detecciones de malware basado en EternalBlue superaron su nivel más alto en 2017.

Inmediatamente después de WannaCry, las detecciones de ataques basados ​​en EternalBlue se redujeron a unos cientos por día.

Todo el malware basado en EternalBlue explota la misma vulnerabilidad de Windows, por lo que el hecho de que estos ataques están aumentando sugiere que todavía hay muchos sistemas de Windows sin parches. Es solo cuestión de tiempo antes de que un atacante los encuentre.

Por eso, en 2020 Wannacry sigue activo y puede ser peligroso.

¿Cómo se reconoce a Wannacry?

Hay seis cosas a tener en cuenta cuando se trata de detectar WannaCry Ransomware:

  • Verifica el uso de SMBv1. Este ransomware no se limita solo a Windows Server 2003 y clientes XP. Una gran cantidad de víctimas de WannaCry ejecutaban Windows 7. SMBv1 puede ejecutarse en todas las versiones de Windows, así que verifica tu red para cualquier actividad.
  • Verifica tu tráfico web y DNS para ver si hay intentos de conectarse a estos dominios:
    • iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com .
    • ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    • ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com
    • iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    • iuqerfsodp9ifjaposdfjhgosurijfaewrwergweb.com
  • Comprueba si hay un aumento en la tasa de cambio de nombre de archivos en tu red
  • Estate atento a cualquier tráfico saliente en TCP 445. Esto realmente debería estar bloqueado
  • Comprueba si hay instancias del archivo @ Please_Read_Me @ .txt en tus archivos compartidos
  • Verifica si hay instancias de archivos con estas extensiones:
    • .wnry
    • .wcry
    • .wncry
    • .wncryt

SMBv1 está en desuso y debe eliminarse de su red. No es seguro y no dispone de las protecciones clave ofrecidas por las versiones posteriores del protocolo SMB. Como mínimo, debes parchear sus sistemas según el Boletín de seguridad de Microsoft MS17-010.

¿Es posible eliminarlo del ordenador?

Como dijimos anteriormente, WannaCry solo afectó a los ordenadores con Windows, así que aquí te indico cómo eliminarlo de Windows. Antes de comenzar, asegúrate de haber actualizado Windows con los parches más recientes.

  • Haz clic en el menú Inicio
  • Escribe Windows Defender en el cuadro de búsqueda
  • Haz doble clic en Defender para ejecutar un análisis
  • Si encuentras algo, usa Defender para eliminarlo

Si no puedes ejecutar Defender o no puedes eliminar el virus, el siguiente paso es ejecutar una herramienta antivirus de terceros y usarla para escanear tu PC y eliminar el virus.

Si tienes archivos que ya han sido encriptados, la solución más simple, si tienes una descarga reciente, es usarlos para recuperar versiones de los archivos antes de que estén encriptados. Si no tienes una copia de seguridad, hay una serie de herramientas disponibles en línea que afirman descifrar archivos cifrados por WannaCry. Debes hacer tu propia investigación sobre estos y solo descargar uno cuando verifiques que hace lo que dice.

¿Cómo protegerse del malware Wannacry?

Después de explicarte cómo se originó el ataque del ransomware WannaCry y las consecuencias del mismo, te indico cómo puedes protegerte del ransomware.

Aquí tienes una serie de consejos:

Actualiza tu software y sistema operativo regularmente

Los usuarios de ordenadores fueron víctimas del ataque WannaCry porque no habían instalado el parche de actualización en su sistema operativo Microsoft Windows.

Si hubieran actualizado sus sistemas operativos de forma regular, habrían obtenido beneficios del parche de seguridad lanzado por Microsoft antes del ataque.

Este parche eliminó la vulnerabilidad que fue explotada por EternalBlue para infectar ordenadores con el ransomware WannaCry.

Asegúrate de mantener actualizado tu software y sistema operativo. Este es un paso esencial de protección contra ransomware.

No hagas clic en enlaces sospechosos

Si abres un correo electrónico desconocido o visitas un sitio web, no hagas clic en ningún enlace. Al hacer clic en los enlaces no verificados podrías desencadenar una descarga de ransomware.

No abras archivos adjuntos de correo electrónico que no sean de confianza

Evita abrir archivos adjuntos de correo electrónico a menos que estés seguro de que son seguros. ¿Conoces y confías en el remitente? ¿Esperabas recibir el archivo adjunto?

Si el archivo adjunto te pide que habilites las macros para verlo, no lo hagas. No habilites macros ni abras el archivo adjunto, ya que esta es una forma común de propagación de ransomware y otros tipos de malware.

No descargar desde sitios web no confiables

Cuando descargas archivos de sitios desconocidos corres el riesgo de descargar ransomware. Solo descarga archivos de sitios web de confianza.

Evitar USB desconocidos

No insertes USB u otros dispositivos de almacenamiento de extracción en tu ordenador, si no sabes de dónde provienen. Podrían estar infectados con ransomware.

Usa una VPN cuando uses Wi-Fi público

Ten precaución al usar Wi-Fi público, ya que esto hace que tu sistema informático sea más vulnerable a los ataques.

Usa una VPN segura para protegerte del riesgo de malware al usar Wi-Fi público.

Instalar software de seguridad de Internet

Instala software de seguridad de Internet para mantener tu ordenador protegido y evitar el ransomware. Busca una solución integral que proteja contra múltiples amenazas complejas.

Actualiza tu software de seguridad de Internet

Para garantizar que recibas la máxima protección que su seguridad de Internet tiene para ofrecer (incluidos todos los parches más recientes) mantenlo actualizado.

Haz una copia de seguridad de tus datos

Asegúrate de hacer una copia de seguridad de tus datos regularmente utilizando un disco duro externo o almacenamiento en la nube. En caso de ser víctima de hackers de ransomware, tus datos estarán seguros si se realiza una copia de seguridad.

Solo recuerda desconectar tu dispositivo de almacenamiento externo de tu ordenador una vez que hayas hecho una copia de seguridad de tus datos. Mantener tu almacenamiento externo conectado rutinariamente a tu PC te expondrá potencialmente a familias de ransomware que también pueden cifrar datos en estos dispositivos.

Related posts
CiberseguridadInternet

Todo sobre TOR o The Onion Router

9 Mins read
En el actual clima de recopilación de datos y preocupaciones de privacidad, el navegador Tor se ha convertido en tema de discusión…
Ciberseguridad

¿Qué son los stalkers de Internet?

11 Mins read
El stalker en Internet o ciberacoso es un problema creciente en todo el mundo. El acecho siempre ha sido un problema serio,…
Ciberseguridad

MonitorMinor, el software que espía tu smartphone

7 Mins read
Existe una muestra interesante de software comercial que se posiciona como una aplicación de control parental, pero que también puede usarse para…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.