¿Qué está ocurriendo con el ransomware que está afectando a Telefónica y la NHS? [Actualizado]

Telefónica dio la voz de alarma cuando se detectó que a través de su red interna empezó a distribuirse un ransomware. La noticia saltó rápidamente a las redes sociales y empresas como Iberdrola, Sanitas, Ferrovial, Gas Natural y Unión Fenosa han tomado medidas para evitar ser infectadas. De momento parece que no está afectando a particulares.

Según parece, un ransomware llamado WanaCryptor, también llamado WannaCry y WCry, se está aprovechando de una vulnerabilidad hallada en el sistema operativo Windows que fue parcheada el 14 de marzo de 2017, con la publicación del Boletín de Seguridad correspondiente a ese mes. Concretamente se trata de la vulnerabilidad 4013389, que afectaba al protocolo SMBv1 y en el peor de los casos permitía la ejecución de código remoto si un atacante enviaba mensajes específicamente diseñados a un servidor Microsoft Server Message Block 1.0 (SMBv1).

La situación llegó a tal extremo que el Centro Criptológico Nacional, dependiente del CNI (servicio de inteligencia de España), ha lanzado un aviso acompañado de mucha información técnica, indicando que el nivel de alerta es muy alto.

De momento se sabe que solo un porcentaje muy pequeño de los decenas de miles ordenadores de Telefónica se han visto afectados por WCry. Sobre el comportamiento de este ransomware, parece que es el normal dentro de este tipo de malware, cifrando los ficheros del disco duro y las unidades de red que va encontrando para luego pedir un rescate de 300 dólares. De hecho, solo se puede destacar su propagación, no solo dentro de España, sino también a nivel internacional. De momento se sabe que afecta a diferentes versiones de Windows, siendo estas las descritas por el Centro Criptológico Nacional:

Microsoft Windows Vista SP2
Windows Server 2008 SP2 y R2 SP1
Windows 7
Windows 8.1
Windows RT 8.1
Windows Server 2012 y R2
Windows 10
Windows Server 2016

Como medida de precaución, Telefónica y otras organizaciones están desconectando sus redes para evitar la propagación de WCry.

La NHS también se está viendo afectada por WCry

Telefónica no es la única organización de envergadura que se ha visto afectada por WCry, sino que el servicio público de salud británico también ha sido afectado por el ransomware. Esto demuestra que el malware no fue creado para atacar a un país o una organización en concreto, sino que se está esparciendo sin control por Internet, buscando objetivos en todo el mundo.

Ordenadores ubicados en hospitales de toda Inglaterra han empezado a mostrar un mensaje pidiendo un rescate a cambio de recuperar los archivos en su estado original. Obviamente, se trata del mensaje perteneciente al ransomware que nos ocupa en esta entrada. El hecho de manejar datos relacionados con la salud puede hacer que un malware tenga consecuencias catastróficas, y WCry ya ha provocado el desvío de pacientes de los servicios de urgencia a otros hospitales.

La BBC ha estado informando sobre los hospitales afectados por WCry en todo el país. En algunos centros se han visto forzados a tener que parar toda la actividad por culpa de los daños causados o que podía causar el ransomware.

Trusts and hospitals in these areas affected by NHS IT failure:

London
Nottingham
Cumbria
Hertfordshire https://t.co/M6Yf4lUVlC
— BBC Breaking News (@BBCBreaking) 12 de mayo de 2017

¿Parche incompleto?

Como ya comentamos al principio, se supone que la vulnerabilidad explotada por WCry estaba parcheada, por lo que solo hay dos posibilidades:

Que los mantenedores de los sistemas de las organizaciones afectadas no habían aplicado el parche cuando tocaba.
Que el parche estaba incompleto.

De momento las informaciones que circulan se decantan por la segunda opción, pero tampoco se puede obviar que desde muchas organizaciones, incluso sanitarias, se reconoce el extendido uso de sistemas sin soporte.

Se confirma que se trata de un ataque a nivel mundial

Según recoge en BBC, la empresa de ciberseguridad rusa Kaspersky ha detectado que WCry ha afectado a un total de 74 países y el número sigue aumentando, por lo que se confirma que la campaña es a nivel de mundial y está fuera de control en estos momentos.

Las consecuencias y los daños que puede causar parece que ahora son impredecibles. Los que quieran seguir la actividad del ransomware en tiempo real pueden visitar la siguiente página web de Intel.

[Actualización: 13-05-207 a las 13:25 aprox.]

Un experto consigue, al menos aparentemente, detener el ataque

Un investigador en seguridad que actúa bajo el pseudónimo de Malware Tech en Twitter ha hallado una forma bloquear el ataque de WannaCry. Para ello, decidió registrar un dominio por tan solo 10 libras que encontró en el código del propio ransomware.

Malware Tech halló que, en su proceso de esparcimiento sin control, WannaCry realizaba una comprobación de preinfección apuntando a este dominio: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. El investigador vio que este no estaba registrado, así que decidió hacerse con él.

Tras registrar el dominio de nombre muy largo, Malware Tech consiguió detener de forma accidental el proceso de esparcimiento sin control de WannaCry, debido a que el proceso de cifrado del ransomware se apoyaba en ese dominio no registrado. Esto ha activado un mecanismo de apagado incluido en el propio malware que ha detenido el ataque.

Sin embargo, es importante tener en cuenta que esta solución no es definitiva y que muy posiblemente veamos a WCry actuando a través de otros dominios en el futuro.

WannaCry/WCry/WanaCryptor se ha apoyado en las herramientas robadas a la NSA

El ransomware que ha terminado por ser una amenaza para la ciberseguridad a nivel mundial se ha apoyado en las herramientas que Shadow Brokers robó a la NSA para su mecanismo de esparcimiento, el cual fue aparentemente publicado a mediados de abril.

Aunque lo relacionado con la red bancaria SWIFT quedó desacreditada, al parecer había material auténtico que ha podido ser aprovechado por algunos ciberdelincuentes para combinarlo con el ransomware WCry.

Microsoft publica actualizaciones para versiones no soportadas de Windows

Ante el gran revuelo generado por WCry, Microsoft ha tomado la decisión de lanzar el parche MS17-010 para Windows XP, Windows 8.0 y Windows Server 2003 como medida excepcional, estando ya disponible para su descarga.

El hecho de no ver un nuevo parche para las versiones de Windows que ya lo recibieron indica que el origen del problema está en equipos mal mantenidos y no en que el parche original fuese insuficiente. Esto convierte en WCry en todo un tirón de orejas para los administradores de sistema y mantenedores de software que no han sido diligentes a la hora de aplicar las actualizaciones de seguridad publicadas por Microsoft.

Por otro lado, el gigante de Redmond ha aconsejado inhabilitar SMBv1 debido a que está obsoleto y fue sustituido hace mucho por versiones más recientes como SMBv2 y SMBv3.

A nivel de números, WCry ha infectado a un total de 78.000 equipos a nivel mundial.

Fuentes: The Guardian | muyseguridad