Ransomware: El Ataque informático “sin precedentes” que golpeó a todo el mundo

El incidente perjudicó las versiones más recientes de Windows, desde la XP en adelante, según el MinTIC.

Una ola de ciberataques “sin precedentes” golpeaba este viernes a un centenar de países, afectando el funcionamiento de numerosas empresas y organismos, entre ellos hospitales británicos, el gigante español Telefonica, el constructor francés Renault o el sistema bancario ruso.

El viernes en la mañana la compañía Telefónica de España prendió las alarmas de la comunidad internacional al indicar que había sido víctima de un ciberataque.

A media mañana del día se ha detectado un incidente de ciberseguridad que ha afectado los PCs de algunos empleados de la red corporativa interna de la compañía. De forma inmediata, se ha activado el protocolo de seguridad para este tipo de incidencias con la intención de que los ordenadores afectados funcionen con normalidad lo antes posible”, indicó la compañía en un comunicado publicado a través de la red social Twitter.

“El ataque es de un nivel sin precedentes y exigirá una compleja investigación internacional para identificar a los culpables”, indicó en un comunicado la oficina europea de policías Europol.

El Servicio Público de Sanidad británico (NHS), quinto empleador del mundo con 1,7 millones de trabajadores, parece haber sido la principal víctima en Reino Unido, y potencialmente la más inquietante por poner en peligro a sus pacientes.

El ciberataque con el virus WannaCry se extiende a nivel mundial

Pero está lejos de ser el único afectado. Decenas de miles de ordenadores de un centenar de países, entre ellos Rusia, España, México o Italia, fueron infectados el viernes por un virus “ransomware” que explotó una falla en los sistemas Windows, expuesta en documentos filtrados de la Agencia Nacional de Seguridad de Estados Unidos (NSA).

Los ministros de Finanzas del G7, reunidos en Bari (Italia) prometieron una lucha conjunta contra esa amenaza mundial.

El gigante estadounidense del correo privado FedEx o el ministerio de Interior ruso sufrieron el ataque. En Francia, el constructor de automóviles Renault suspendió su producción en varias plantas del país “para evitar la propagación del virus”, indicó la dirección del grupo.

La fiscalía de París abrió una investigación sobre el ataque.

También está implicada la compañía ferroviaria pública alemana. Aunque los paneles de las estaciones fueron hackeados, la Deutsche Bahn aseguró que el ataque no ha tenido ningún impacto en el tráfico.

Según la empresa de seguridad informática Kaspersky, Rusia fue el país más afectado por los ataques. Los medios de comunicación rusos aseguran que varios ministerios así como el banco Sberbank fueron también atacados.

El centro de monitoreo del Banco Central ruso IT “detectó una distribución masiva del software dañino del primer y segundo tipo”, revela un comunicado del Banco Central citado por las agencias de noticias rusas.

Las autoridades estadounidenses y británicas han aconsejado a los particulares, empresas y organizaciones afectadas que no paguen a los piratas informáticos que exigen un ‘rescate’ para desbloquear los ordenadores infectados.

“Hemos recibido múltiples informes de contagios por el virus ransomware”, escribió el ministerio estadounidense de Seguridad Interior en un comunicado. “Particulares y organizaciones están alertados de no pagar el rescate ya que este no garantiza que será restaurado el acceso a los datos”.

Un investigador en ciberseguridad, que tuiteó a partir de la cuenta @Malwaretechblog, indicó a la AFP que había encontrado un parche para frenar la propagación del virus.

Pero los expertos, a media jornada, se mostraban aún muy prudentes sobre el avance del virus. “No sabemos si estamos aún de subida o de bajada. Seguimos en fase de análisis” explicó Laurent Maréchal, experto en ciberseguridad de la empresa McAfee, a la AFP.

‘Gran campaña’

El virus bloquea los documentos de los usuarios y los hackers exigen a sus víctimas pagar una suma de dinero en la moneda electrónica bitcoin para permitirles acceder nuevamente a los archivos.

El antiguo hacker español Chema Alonso, ahora responsable de ciberseguridad de Telefónica otro grupo afectado por el ataque, dijo sin embargo este sábado en su blog que “el ruido mediático que produce este ‘ransomware’ no ha tenido mucho impacto real” ya que “se puede ver en la cartera bitCoin utilizada que el número de transacciones” es débil.

Forcepoint Security Labs, otra empresa del sector, señaló por su lado que la campaña de difusión de emails afectados es del orden de 5 millones de correos electrónicos por hora, que propagan el malware llamado WCry, WannaCry, WanaCrypt0r, WannaCrypt o Wana Decrypt0r.

El NHS británico intentó este sábado tranquilizar a sus pacientes pero muchos de ellos temen el posible caos, sobre todo en las urgencias médicas, dado que el sistema de Sanidad Pública, austero, ya estaba al borde de la ruptura.

“Cerca de 45 establecimientos” del Servicio de Sanidad Pública han sido infectados, indicó este sábado la ministra británica de Interior Amber Rudd, en la BBC. Muchos de ellos se vieron obligados a anular o aplazar las intervenciones médicas.

Rudd añadió que “no ha habido un acceso malévolo a los datos de los pacientes”. Sin embargo, empieza a aumentar la presión sobre el gobierno conservador a pocas semanas de las elecciones legislativas del 8 de junio.

El viernes, en las redes sociales se compartieron imágenes de decenas de pantallas de computadoras del NHS en las que se veían pedidos de pago de 300 dólares en bitcoins con la mención: “¡Ooops, sus archivos han sido encriptados!”.

El pago debe realizarse en tres días, o el precio se duplica. Además, si la cantidad no es abonada en siete días, los archivos pirateados serán eliminados, precisa el mensaje.

Muchos sistemas todavía deben ser actualizados, aunque Microsoft lanzó una actualización de seguridad para la falla de este año, dijeron investigadores.

Varias versiones de Windows afectadas

El Centro Criptológico Nacional se ha hecho eco de este ataque que afecta a Telefónica y otras empresas, indicando los equipos que son vulnerables:

  • Microsoft Windows Vista SP2
  • Windows Server 2008 SP2 and R2 SP1
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 and R2
  • Windows 10
  • Windows Server 2016

Esto es posible gracias a un agujero de seguridad en Windows que se ha confirmado fue arreglado el pasado 14 de marzo, por lo que es muy importante actualizar Windows.

Cómo protegerse de este ataque

Aunque es muy raro que una persona que no esté relacionada con estas empresas pueda infectarse con este ransomware, al usar Windows se está expuesto a este tipo de ataques. Aunque la primer línea de defensa siempre es tener el equipo actualizado, el experto en seguridad Yago Jesus de Security by default ha confirmado que Anti Ransom v3, un programa que protege de este tipo de ataques, detecta este ransomware en concret.

¿Qué es el ransomware?

El ransomware es un tipo de ciberataque que en cuanto accede al sistema, se hace con todos los datos del equipo y bloquea cualquier acceso a esa información. A partir de ese momento, los piratas extorsionan y amenazan a la empresa a cambio de recuperar su material.

Lo cierto es que los ataques de ransomware no son una excepción en las empresas, sino que es un método de actuar por parte de los ciberdelicuentes cada vez más habitual. En concreto, en 2016, este tipo de ciberamenazas creció más que nunca con un ataque a empresas cada cuarenta segundos en todo el mundo.

Según la sociedad Kaspersky Lab, un grupo de hackers llamado “Shadow Brokers” difundió el virus en abril alegando haber descubierto el defecto de la NSA.

Un experto frena el ciberataque ‘Wannacry’ con 10 dólares y este truco escondido en el código.

En el código del ransomware que ha afectado a 100 países, se encontraba un dominio sin registrar que ha permitido minimizar su propagación. El ataque de ransomware que afecta a empresas como Telefónica, hospitales británicos, estaciones de tren o incluso embajadas, se estima que ha logrado infectar máquinas de al menos 100 países. Pero por sorpresa o más bien por casualidad, se ha logrado minimizar gracias a registrar un dominio de internet.

El analista de malware conocido como @MalwareTechBlog, logró minimizar la expansión de este ataque de forma accidental. Revisando el código del ransomware “WannaCrypt” o “WannaCry”, encontró una llamada a un dominio de internet que a simple vista no tiene sentido. Este dominio se usaría para enviar al ransomware órdenes de qué hacer, como la fecha cuando debe activarse o si debe copiarse a otros ordenadores de la red local.

Para sorpresa de todos, el dominio no estaba registrado y al comprarlo por poco más de 10 dólares, empezó a registrar mucha actividad. Se trataba del ransomware, instalado en miles de máquinas alrededor del mundo, en busca de órdenes.

«Confieso que ignoraba que registrar el dominio pararía el malware hasta después de registrarlo, inicialmente fue accidental.»

Encontrar el dominio en el código de WannaCrypt y registrarlo ha servido para minimizar su expansión, pero no para detenerlo. Basta con que alguien desarrolle otra versión de este mismo malware y use la misma técnica de ataque, para infectar millones de ordenadores.

Microsoft envió hace dos meses actualizaciones para todas las versiones de Windows afectadas, incluso Windows XP. Recuerda actualizar tu ordenador lo antes posible.

Europol advierte: el ciberataque no ha terminado y se espera una nueva oleada.

El director de Europol, Rob Wainwright, ha advertido de que el ciberataque que desde el viernes ha afectado a más de 150 países puede sufrir una nueva oleada este lunes por la mañana.

El virus WannaCry no ha dejado de ser una amenaza a nivel mundial, según la Europol. Mañana, lunes, podría regresar con fuerza tras hacer sido parcialmente controlado durante el fin de semana.

El ciberataque mundial iniciado el viernes dejó 200.000 víctimas, principalmente empresas, en al menos 150 países, afirmó Wainwright en una entrevista con la cadena británica ITV este domingo.

“Llevamos a cabo operaciones contra unos 200 ciberataques al año pero nunca habíamos visto nada así”, subrayó el jefe de Europol, que teme que el número de víctimas siga creciendo “cuando la gente vuelva al trabajo el lunes y encienda el ordenador”.

mm

Redacción online de la edición EBS News y RevoluTegPlus News