Inicio >> noticias >> 2017 >> WannaCry: El peor brote de ransomware en la historia

WannaCry: El peor brote de ransomware en la historia.

AVAST actualiza la información sobre WannaCry: quién fue afectado, quién fue el objetivo, cómo eliminarlo y más.

Aunque el viernes pasado (12-05-2017) no fue el viernes 13, seguro que lo parecía. Las equipos informáticos de todo el mundo, incluidos las pertenecientes a hospitales y agencias gubernamentales, fueron golpeadas por el ransomware WannaCry (AKA WanaCrypt0r, o WCry), causando el caos. Hasta ahora hemos visto más de 250.000 detecciones en 116 países. Alrededor del 15% de nuestros más de 400 millones de usuarios en todo el mundo no habían reparado la vulnerabilidad MS17-010, que podría haberlos hecho vulnerables a este ataque si no hubieran tenido Avast protegiéndolos.

Para el viernes por la tarde habíamos visto más de 50,000 detecciones del ransomware dentro de la base de usuarios de Avast. Poco después del viernes, alrededor de la medianoche, el número de detecciones creció a más de 100.000. Lo que esto significa es que más de 100.000 usuarios de Avast habían encontrado el ransomware, pero estaban protegidos porque Avast bloquea el ransomware que proviene de equipos infectados. A medida que la situación se asienta, podemos concluir que este fue el peor brote de ransomware en la historia, de momento.

¿Por dónde se movió WannaCry?

A continuación se muestra un gráfico que muestra cuándo las detecciones alcanzaron su punto máximo y se redujeron.

Gráfico que muestra cuándo las detecciones alcanzaron su punto máximo y se redujeron

Detectamos todos los componentes de WannaCry, no sólo las variantes que incluyen el componente del gusano, sino también aquellos que simplemente cifran los archivos y no se propagan más. El componente del gusano determina cómo se extiende WannaCry, que describimos a continuación. Algunos investigadores dicen que la propagación ha terminado, pero esto sólo es cierto para la variante de WannaCry que se propagó anteriormente como un gusano.

Hemos observado 10.000 detecciones por hora poco después del brote, que es un número muy alto para una sola variedad de malware.

Después de que un investigador de malware presionó el "interruptor de la muerte", que describiremos más adelante en este post, el número de detecciones disminuyó significativamente a aproximadamente 2.000 por hora, a última hora de la tarde del viernes. La relación ha ido disminuyendo desde entonces y esperamos que esta tendencia continúe

Según nuestros datos, los 10 principales países más atacados son: Rusia, Ucrania, Taiwán, India, Brasil, Tailandia, Rumania, Filipinas, Armenia y Pakistán. Más de la mitad de los intentos de ataques contra toda nuestra base de usuarios fueron bloqueados en Rusia.

Mapa de países más atacados por WannaCry según el Laboratorio de virus de AVAST Software

¿Quién era el objetivo de WannaCry?

WannaCry, al igual que la mayoría de las otras variedades de ransomware, no apuntaba específicamente a nadie. El ransomware utilizó un exploit conocido como ETERNALBLUE, que aprovecha una vulnerabilidad SMB (bloque de mensajes de servidor, un protocolo de uso compartido de archivos de red) denominada MS17-010. WannaCry, de manera ciega y aleatoria, se dirige a cualquier persona que no instaló el parche para la vulnerabilidad, que Microsoft lanzó en marzo.

WannaCry se propaga tan agresivamente porque cada equipo Windows conectado a una red, con la vulnerabilidad MS17-010, puede infectarse sin la interacción del usuario. El malware ya activo en un PC escanea la red local y la subred y elige de manera aleatoria las direcciones IP. Una vez que encuentra una PC vulnerable, el ransomware se extiende a ese PC también, lo cual es posible porque WannaCry contiene la funcionalidad de gusano.

Los usuarios de Windows XP se quedaron desamparados ante el ataque. Microsoft cortó el soporte para el sistema operativo en 2014, por lo que incluso si los usuarios de XP querían descargar el parche no podían. Microsoft ha lanzado desde entonces un parche fuera de límites para sistemas operativos más antiguos.

A pesar de que Windows XP era el más vulnerable, debido al parche no disponible antes de que ocurriera el ataque, la mayoría de los intentos de ataques bloqueados ocurrieron en sistemas como Windows 7, en equipos donde la actualización de seguridad no estaba instalada, aunque estaba disponible. Recomendamos encarecidamente que cualquier persona que aún no haya descargado el parche, incluyendo aquellos que usan una versión anterior del sistema operativo Windows, descargue el parche.

Las grandes empresas, como Telefónica y la Deutsche Bahn, fueron afectadas por el ataque, pero peor aún, los hospitales de todo el mundo también se vieron afectados. Los hospitales a menudo carecen de presupuesto para mantener sus sistemas actualizados y, por lo tanto, fueron golpeados duramente el viernes, lo que afectó mucho la atención al paciente.

Eliminando WannaCry

Eliminar WannaCry de un PC no es difícil, el software antivirus debe ser capaz de eliminar el ransomware mediante la cuarentena de los archivos maliciosos, pero esto no soluciona el problema - los archivos se mantendrán cifrados.

No existe una herramienta de descifrado disponible en este momento y, según nuestro análisis, el cifrado utilizado parece ser muy fuerte (AES-128 combinado con RSA-2048). La mejor solución, si su equipo está infectado, es recuperar sus archivos de una copia de seguridad, si está disponible. Debe hacerlo en una máquina limpia, con todos los parches aplicados y para obtener la máxima seguridad, debe hacerlo sin conexión para minimizar el riesgo de cifrar el almacenamiento de copia de seguridad también.

El interruptor de la muerte

Un investigador conocido en Twitter como MalwareTech, descubrió un interruptor para "matar", que detuvo la variante más prevalente de WannaCry de propagarse aún más.

El motivo detrás de incluir un "interruptor de la muerte" todavía no está claro. Creemos que el "interruptor de la muerte" fue incluido en el ransomware, en caso de que el grupo detrás de WannaCry quisiera detenerlo. El "interruptor de la muerte" funcionó de esta manera: Si WannaCry hace una solicitud a un dominio específico, www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com, (no nos atrevemos a tratar de memorizar el nombre de dominio) y si se recibe una respuesta, mostrando que el dominio está activo, el malware debería salir y dejar de propagarse. Antes de que se activara "interruptor de la muerte", el dominio no se registró y WannaCry se propagó de forma incontrolable.

Interruptor de la muerte de WannaCry

En otras palabras, pensar en el "interruptor de la muerte" como el freno de mano en su coche. Puede usarlo en casos de emergencia, para detener su automóvil, pero no puede usarlo para controlar su automóvil. Lo mismo se aplica a un "interruptor de la muerte" - puede detener inmediatamente la propagación.

Es importante tener en cuenta que el "interruptor de la muerte" sólo detuvo una variante de WannaCry de propagación, pero no hará a nadie cuyo equipo ya estaba infectado ningún bien. Además, los componentes internos de WannaCry, al igual que la parte de cifrado de archivos, no contienen la funcionalidad de gusano (que es lo que le permitió atacar a tantos ordenadores) y por lo tanto no son controlados por el "interruptor de la muerte" y pueden causar daño. Por lo tanto, si se encuentra con el propio ransomware, desde un dispositivo ya infectado, a través de un archivo de copia en una memoria USB, por ejemplo, puede infectarse.

Dado que el "interruptor de la muerte" se ha puesto en vigor, la propagación de WannaCry se ha ralentizado significativamente. Sin embargo, hemos notado al menos otras seis variantes de WannaCry que contienen diferentes "interruptor de la muerte" (es decir, URL). Incluso hemos detectado varias muestras en las que se ha eliminado "interruptor de la muerte", lo que significa que las personas detrás de estas variantes quieren que sus versiones se difundan de manera incontrolable. Basándonos en las similitudes de todas las variantes, creemos que las versiones posteriores son sólo versiones modificadas de la variante original de WannaCry y probablemente han sido modificadas por otros grupos o individuos.

¿Cuánto ganaron los cibercriminales?

El rescate exigido por WannaCry es de entre $ 300 - $ 600 ($ 300 = 0.17222 Bitcoins, a partir del 16 de mayo de 2017) y la demanda aumenta con el tiempo. La amenaza que el ransomware hace, alegando que eliminará los archivos cifrados si el rescate no se paga dentro de siete días, es falso.

Hemos estado supervisando las direcciones de pago de Bitcoin utilizadas por el grupo detrás del ataque y ha habido más de 260 transacciones de pago, haciendo que el dinero total enviado sea de 41 BTC en el momento de escribir esta entrada de blog. Eso es aproximadamente $ 70.000, que no es mucho teniendo en cuenta el daño que se ha causado.

Sin embargo, como la cuenta regresiva dentro de la ventana de WannaCry está marcando, contando el tiempo que las víctimas han dejado de pagar antes de que supuestamente pierdan sus datos (lo cual es falso, recuerde), probablemente veremos más pagos en el día siguiente. Recomendamos encarecidamente no pagar, porque no hay garantía de que sus archivos se descifrarán, y alienta a los autores de ransomware a lanzar más campañas de ransomware.

Parece WannaCry, actúa como WannaCry, pero no es WannaCry

Tan pronto como WannaCry se convirtió en "popular", otros delincuentes cibernéticos comenzaron a piggybacking en la tendencia a ganar su dinero. Hemos comenzado a detectar varias aplicaciones malintencionadas de baja calidad que representan a WannaCry, como la de la captura de pantalla de abajo.

Parece WannaCry, actúa como WannaCry, pero no es WannaCry

(Fuente de la muestra: Karsten Hahn https://twitter.com/struppigel)

Pensamientos finales

De vuelta el viernes, mis colegas y yo estábamos asistiendo al taller CARO, una gran conferencia de Antivirus, con una charla sobre el reciente ransomware, Spora, que también se está propagando como un gusano. Durante el taller, conversamos con investigadores de otras compañías sobre las últimas tendencias y brotes de los últimos años, como Loveletter, Blaster o Nimda.

Toda la mirada hacia atrás terminó de repente cuando ocurrió este Wannageddon. Es difícil describir el zumbido que apareció cuando todos empezamos a hacer nuestro mejor esfuerzo para lidiar con el brote. Al final del día ya era obvio que acabábamos de encontrar el peor brote de rescate en la historia.

Veremos lo que traerán los próximos días. Ya hay especulaciones sobre el origen de este ataque y también hay otras amenazas que utilizan el mismo vector de infección.

 

Fuente: blog.avast.com