Todo sobre Ransomware, el ataque cibernético que se come al mundo.

Ransomware de WannaCry

El ataque de Ransomware de WannaCry es un ciberataque en curso a nivel mundial por el criptoworm WannaCry [ransomware], que apunta a equipos que ejecutan el sistema operativo Microsoft Windows cifrando datos y exigiendo pagos de rescate en la criptocurrencia Bitcoin.

Ransomware de WannaCry

Ransomware de WannaCry

 

El ataque comenzó el viernes, 12 de mayo de 2017, y se ha descrito como sin precedentes en la escala, infectando más de 230.000 computadoras en más de 150 países. Partes del Servicio de Salud Nacional de Gran Bretaña (NHS), Telefónica de España, Fedex y Deutsche Bahn fueron golpeados, junto con muchos otros países y compañías en todo el mundo.

WannaCry se propaga a través de redes locales e Internet a sistemas que no han sido actualizados con actualizaciones de seguridad recientes, para infectar directamente a cualquier sistema expuesto. Para ello, utiliza la hazaña de EternalBlue desarrollada por la Agencia de Seguridad Nacional de Estados Unidos (NSA, por sus siglas en inglés), la cual fue publicada por The Shadow Brokers dos meses antes. Un parche “crítico” había sido emitido por Microsoft el 14 de marzo de 2017 para eliminar la vulnerabilidad subyacente de los sistemas soportados, casi dos meses antes del ataque , pero muchas organizaciones aún no lo habían aplicado.

Aquellos que siguen ejecutando sistemas operativos antiguos y no soportados, como Windows XP y Windows Server 2003, estaban inicialmente en riesgo particular, pero al día siguiente del brote, Microsoft tomó el paso inusual de liberar actualizaciones para estos sistemas operativos también. Casi todas las víctimas están ejecutando Windows 7 más reciente.

Poco después de que el ataque comenzó, un investigador de seguridad web que los blogs como “MalwareTech” descubrieron un interruptor de matar eficaz mediante el registro de un nombre de dominio que encontró en el código de la ransomware. Esto retrasó grandemente la extensión de la infección, pero las nuevas versiones se han detectado desde entonces que carecen del interruptor de la matanza.

 

Según informes oficiales de las agencias de noticias, el ataque cibernético se ha ralentizado drásticamente y ha muerto a partir del 19 de mayo de 2017.

Las Reacciones

El número de expertos resaltó la no divulgación de la vulnerabilidad subyacente de la NSA y su pérdida de control sobre la herramienta de ataque EternalBlue que la explotó. Edward Snowden dijo que si la NSA había “revelado en privado la falla usada para atacar a los hospitales cuando la encontraron, no cuando la perdieron, [el ataque] no pudo haber ocurrido”. Graham Cluley, experto británico en ciberseguridad, también ve “cierta culpabilidad por parte de los servicios de inteligencia estadounidenses”. Según él y otros “podrían haber hecho algo hace mucho tiempo para solucionar este problema y no lo hicieron”. También dijo que a pesar de los obvios usos de tales herramientas para espiar a las personas de interés, tienen el deber de proteger a los ciudadanos de sus países.

Otros también han comentado que este ataque demuestra que la práctica de las agencias de inteligencia para almacenar las hazañas con fines ofensivos en lugar de revelarlas con fines defensivos puede ser problemática.El presidente y director jurídico de Microsoft, Brad Smith, escribió: “En repetidas ocasiones, las hazañas en manos de los gobiernos se han filtrado al dominio público y han causado daños generalizados.” Un escenario equivalente con armas convencionales sería el de los militares estadounidenses robados algunos de sus misiles Tomahawk. El presidente ruso, Vladimir Putin, puso la responsabilidad del ataque contra los servicios de inteligencia estadounidenses, por haber creado EternalBlue.

 

Otros expertos también utilizaron la publicidad en torno al ataque como una oportunidad para reiterar el valor y la importancia de tener copias de seguridad buenas, regulares y seguras, una buena seguridad cibernética incluyendo el aislamiento de sistemas críticos, el uso de software apropiado y la instalación de los parches de seguridad más recientes. Adam Segal, director del programa de política digital y ciberespacial del Consejo de Relaciones Exteriores, afirmó que “los sistemas de corrección y actualización están básicamente rotos en el sector privado y en los organismos gubernamentales”.

Además, Segal dijo que la aparente incapacidad de los gobiernos para asegurar vulnerabilidades “abre muchas preguntas sobre las puertas traseras y el acceso a cifrado que el gobierno argumenta que necesita del sector privado para la seguridad”. Arne Schönbohm, presidente de la Oficina Federal Alemana para la Seguridad de la Información (BSI), declaró que “los ataques actuales muestran lo vulnerable que es nuestra sociedad digital.