Pedro Luis Martín Olivares – Las herramientas de pirateo del gobierno robadas, los sistemas de Windows no parcheados y los operativos oscuros de Corea del Norte hicieron de WannaCry una tormenta de ransomware perfecta.
WannaCry es un gusano ransomware que se propagó rápidamente a través de varias redes informáticas en mayo de 2017. Después de infectar una computadora con Windows, encripta los archivos en el disco duro de la PC, imposibilitando el acceso de los usuarios y luego exige un pago de rescate en bitcoin. para descifrarlos
Una serie de factores hizo que la difusión inicial de WannaCry fuera especialmente notable: alcanzó varios sistemas importantes y de alto perfil, incluidos muchos en el Servicio Nacional de Salud de Gran Bretaña; explotó una vulnerabilidad de Windows que se sospechaba que había sido descubierta por primera vez por la Agencia de Seguridad Nacional de los Estados Unidos; y fue provisionalmente vinculado por Symantec y otros investigadores de seguridad al Grupo Lazarus, una organización de cibercrimen que puede estar conectada con el gobierno de Corea del Norte.
¿Qué es el ransomware WannaCry?
El ransomware WannaCry consiste en múltiples componentes. Llega a la computadora infectada en la forma de un cuentagotas, un programa independiente que extrae los otros componentes de la aplicación incrustados en sí mismo. Esos componentes incluyen:
- Una aplicación que encripta y descifra datos
- Archivos que contienen claves de cifrado
- Una copia de Tor
El código del programa no está ofuscado y es relativamente fácil de analizar para los profesionales de seguridad. Una vez lanzado, WannaCry intenta acceder a una URL codificada (el llamado interruptor de interrupción); si no puede, procede a buscar y encriptar archivos en una gran cantidad de formatos importantes, desde archivos de Microsoft Office a MP3 y MKV, dejándolos inaccesibles para el usuario. A continuación, muestra un aviso de rescate, exigiendo $ 300 en Bitcoin para descifrar los archivos.
¿Cómo infecta WannaCry a las PC?
El vector de ataque para WannaCry es más interesante que el propio ransomware. La vulnerabilidad de los exploits de WannaCry reside en la implementación de Windows del protocolo de bloque de mensajes de servidor (SMB). El protocolo SMB ayuda a varios nodos en una red a comunicarse, y la implementación de Microsoft podría ser engañada por paquetes especialmente diseñados para ejecutar código arbitrario.
Parche WannaCry
Irónicamente, el parche necesario para evitar infecciones WannaCry estaba realmente disponible antes de que comenzara el ataque: el boletín de seguridad de Microsoft MS17-010, publicado el 14 de marzo de 2017, actualizó la implementación de Windows del protocolo SMB para evitar infecciones a través de EternalBlue. Sin embargo, a pesar del hecho de que Microsoft había marcado el parche como crítico, muchos sistemas aún no se habían reparado a partir de mayo de 2017 cuando WannaCry comenzó su rápida expansión.
Para aquellos sistemas sin parches que están infectados, existe poco remedio más allá de restaurar los archivos de una copia de seguridad segura, así que deje que esto sea una lección de que siempre debe hacer una copia de seguridad de sus archivos. Mientras aquellos que monitorean las billeteras de bitcoin identificadas en el mensaje de extorsión dicen que algunas personas están pagando el rescate, hay poca evidencia de que estén recuperando el acceso a sus archivos.
Vía Itworld
Sabías que puedes leer esta noticia y otras en Telegram
Pedro Luis Martín Olivares
Economía y Finanzas
Deja un comentario