El Ataque WannaCry y la Vulnerabilidad DoublePulsar

By /

El ataque de ransomware WannaCry, descubierto el 17 de mayo de 2017, fue un ciberataque masivo a nivel mundial dirigido principalmente a redes corporativas que utilizaban el sistema operativo Microsoft Windows. Este malware infectó a más de 250.000 sistemas globalmente, causando graves pérdidas económicas y convirtiéndose en la pesadilla de muchos usuarios de Windows.

infografía sobre el funcionamiento del ransomware WannaCry

¿Qué es el Ransomware WannaCry?

WannaCry es un ransomware de cifrado, una forma de malware (software malicioso) que, una vez infecta el equipo de su víctima, bloquea el acceso a varios o todos sus archivos mediante el cifrado. Posteriormente, los cibercriminales exigen un rescate en bitcoins para supuestamente restaurar el acceso. Inicialmente, los atacantes exigieron un rescate de 300 dólares, que luego aumentaron a 600 dólares. El mejor consejo que se puede dar en lo que se refiere a los pagos de los rescates es no sucumbir, ya que la codificación utilizada en el ataque era defectuosa y existen dudas sobre si alguien recuperó sus archivos.

Además de ser un ransomware, WannaCry actuaba también como un gusano informático, es decir, tras infectar un equipo, procedía a seguir replicándose e infectando otros sistemas de la red de manera automática. Este comportamiento lo distinguía de otros ransomware que se distribuían mediante correo electrónico o descargas web.

Origen y Propagación: EternalBlue y DoublePulsar

La vulnerabilidad EternalBlue

El ransomware WannaCry infecta las redes aprovechándose de una vulnerabilidad crítica en el protocolo Server Message Block (SMB) en el sistema operativo Microsoft Windows, específicamente la primera versión del protocolo, SMBv1 (las versiones SMBv2 y posteriores no están afectadas, aunque Windows sigue siendo compatible con SMBv1). Esta vulnerabilidad es explotada mediante un "exploit" llamado EternalBlue.

EternalBlue fue desarrollado por la Agencia de Seguridad Nacional (NSA) de EE. UU. Se presume que la NSA desarrolló esta explotación para su propio uso, pero un grupo conocido como Shadow Brokers la robó y la hizo pública en abril de 2017. Los Shadow Brokers, un grupo de atacantes que comenzó a filtrar herramientas de malware y vulnerabilidades de día cero al público en 2016, se sospecha que se hicieron con una serie de vulnerabilidades desarrolladas por la NSA, posiblemente debido a un ataque interno en la agencia.

El ataque DoublePulsar

El error EternalBlue hace que los sistemas sean extremadamente vulnerables al secuestro remoto mediante un ataque "DoublePulsar". Un ataque DoublePulsar funciona mediante la instalación silenciosa de una peligrosa implantación de puerta trasera en el PC de la víctima. Esta puerta trasera permite a los atacantes sortear la seguridad del PC y acceder al sistema sin ser detectados. Después de acceder, el atacante puede introducir malware (como WannaCry) o robar datos personales.

El 12 de mayo de 2017, el gusano de ransomware WannaCry usó la puerta trasera de DoublePulsar en combinación con EternalBlue para infectar miles de PC a nivel mundial. WannaCry accedió a las redes informáticas a través de DoublePulsar, que también fue desarrollado por la NSA, robado por Shadow Brokers y luego lanzado al público.

¿Cómo Funcionó WannaCry?

WannaCry aprovechó la vulnerabilidad denominada MS17-010 utilizando el código EternalBlue para atacar las redes SMBv1. Una vez instalado en un equipo, era capaz de analizar toda la red para encontrar otros dispositivos vulnerables y seguir propagándose de manera automática, sin necesidad de usar otros archivos o programas, comportándose como un gusano informático. Este malware se descargaba en las computadoras como un programa autónomo que extraía los componentes necesarios para cifrar los datos del usuario.

Una vez que el malware se propaga y se infiltra en una red, el cibercriminal cifra los datos en los sistemas infectados, bloqueando al legítimo dueño. En respuesta a esta precaución, ahora existen ransomware que intentan cifrar primero los equipos de copias de seguridad.

El "Interruptor de Apagado" y su Descubrimiento

A las pocas horas del ataque inicial, WannaCry fue neutralizado temporalmente. Un investigador especialista en seguridad, Marcus Hutchins (un joven británico), descubrió un "interruptor de apagado" ("kill switch") que básicamente desactivaba el malware.

Hutchins llegó a la conclusión de que WannaCry era un gusano informático y descubrió que el programa intentaba conectarse a un dominio web sin registrar con una URL sin sentido (por ejemplo, iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com). Al registrar este dominio, Hutchins creó una página web, lo que evitó que muchas versiones de WannaCry cifraran archivos en otras computadoras en todo el mundo. Quizás el malware estaba diseñado para comprobar si estaba en un "espacio seguro" (una máquina virtual no conectada a internet que imita un PC real) y, al conectarse al dominio registrado, "pensó" que estaba en uno y se desactivó.

Aunque la versión de WannaCry que se difundió en 2017 dejó de funcionar gracias al dominio del botón de apagado de Hutchins, las versiones más recientes han eliminado esta función. En marzo de 2021, WannaCry seguía aprovechándose de la vulnerabilidad EternalBlue, afectando solo a sistemas Windows extremadamente antiguos y desactualizados.

WannaCry: El Ransomware más Devastador de la Historia

Impacto Global de WannaCry

El ataque de ransomware WannaCry tuvo un impacto financiero significativo en todo el mundo, infectando a más de 230.000 computadoras en más de 150 países y causando daños por miles de millones de dólares. Tuvo un efecto particularmente devastador en organizaciones de cuidado de la salud, como el Servicio Nacional de Salud (NHS) del Reino Unido, debido a su amplio uso de dispositivos Windows obsoletos y sin parches. Un tercio de las fundaciones hospitalarias del NHS se vieron afectadas, lo que llevó a desviar ambulancias y dejó a muchas personas necesitadas de atención urgente sin asistencia.

Otras organizaciones afectadas incluyeron grandes fabricantes que utilizaban versiones vulnerables de Windows, comisarías de policía en la India, universidades en Grecia, Canadá e Indonesia, fabricantes de automóviles en Rusia, Rumania y Japón, FedEx, hospitales en Eslovaquia e Indonesia, redes de telecomunicaciones de Portugal y Arabia Saudita, el ferrocarril ruso, e incluso los tribunales de Brasil. WannaCry no solo afectó a las computadoras, sino también a refrigeradores de almacenamiento de sangre, equipos de quirófanos y escáneres de resonancia magnética.

El virus afectó especialmente a Taiwán, India, Ucrania y Rusia, principalmente debido al uso de sistemas operativos más antiguos de Microsoft.

Prevención y Mitigación de Ransomware

La prevención es mucho menos complicada que eliminar el WannaCry. La mejor estrategia de seguridad contra el ransomware es una mezcla de prestaciones de prevención, detección y recuperación. WannaCry podría haberse detenido si se hubiera descargado un parche de Microsoft lanzado más de dos meses antes de que comenzara el ataque. Sin embargo, no todas las organizaciones pudieron instalarlo a tiempo. Una de las lecciones clave que dejó este ransomware es ser diligente en la estrategia de instalación de parches para actualizar los sistemas operativos.

Medidas de Prevención Clave:

  • Mantener el software actualizado: Es crucial mantener siempre actualizado el sistema operativo y el resto del software. Microsoft incorporó herramientas anti-ransomware en Windows 10 y Windows 11. Además, lanzó parches para corregir esta vulnerabilidad en sus sistemas operativos más antiguos y no compatibles a los pocos días de los ataques iniciales.
  • Desactivar SMBv1: Si no es posible instalar la actualización, la única otra forma de reparar esta vulnerabilidad es desactivar el servicio de uso compartido de archivos de Windows, concretamente la versión 1 del protocolo SMB.
  • Configuración segura del entorno: Esto incluye disuadir la propagación de ransomware mediante macros malintencionadas en documentos.
  • Precaución con correos electrónicos y descargas: No descargar software o archivos de sitios que no son de confianza. Evitar abrir archivos adjuntos de correos electrónicos a menos que se esté seguro de que son fiables y se conoce el remitente. No hacer clic en enlaces de correos electrónicos desconocidos o sitios web no confiables.
  • Software de seguridad: Utilizar software antivirus y de seguridad de Internet. Todas las versiones de Avast Antivirus o AVG AntiVirus protegen su PC de los ataques que se aprovechan del error EternalBlue, siempre que la función Cortafuegos esté activada. Microsoft ahora ofrece una herramienta de eliminación de software malintencionado.
  • Copia de seguridad de datos: Realizar copias de seguridad de manera periódica utilizando un disco duro externo o almacenamiento en la nube. Es fundamental desconectar el dispositivo de almacenamiento externo del ordenador una vez que se haya realizado la copia de seguridad para proteger los datos de un posible cifrado.
  • Capacitación de empleados: Los empleados deben recibir capacitación para detectar correos electrónicos de phishing y otros ataques de ingeniería social.
  • Bloquear el puerto 445: Para mayor seguridad, se recomienda bloquear este puerto.
  • Redes privadas virtuales (VPN): Una VPN ayuda a los usuarios a acceder a Internet de forma segura en cualquier red.

Detección y Recuperación:

  • Controles de detección: Los controles de detección también ayudan mucho. Verificar los registros de la computadora y el tráfico de red para detectar actividad sospechosa.
  • Estrategia de recuperación activa: Las organizaciones de mayor tamaño con sólidos procesos de "backup" pueden librarse de tener que pagar rescates; simplemente tienen que restaurar los datos cifrados (aunque esto les cueste algunas horas de mano de obra). Veeam puede ayudar a su empresa ofreciéndole un backup seguro que protege sus datos más importantes.

Lecciones y Estado Actual

Muchos expertos en seguridad creen que, a pesar de los efectos devastadores de WannaCry, no se produjeron mejoras duraderas en la ciberseguridad. Muchas empresas todavía utilizan sistemas operativos de Microsoft más antiguos y no han podido actualizar el software con los parches necesarios. La interconexión extrema de las redes a nivel mundial significa que incluso las vulnerabilidades parcheadas pueden ser peligrosas si no se aplican universalmente.

El ransomware sigue siendo una amenaza importante. Plataformas de seguridad como Cloudflare One, que adoptan un enfoque de Zero Trust, pueden ayudar a las organizaciones a combatir esta amenaza al asumir que todos los usuarios y dispositivos presentan amenazas, reautenticando periódicamente a los usuarios y evaluando la seguridad de los dispositivos para revocar el acceso no autorizado o inseguro.

tags: #vulnerable #al #ataque #wannacryp #doublepulsar

Publicaciones populares:

  • Hacia una inclusión educativa efectiva
  • Tipos de Vulnerabilidades Informáticas
  • Pensiones Suecas: Cuentas Individuales Capitalizadas
  • políticas con perspectiva de género en el Servicio Nacional del Adulto Mayor
  • Cómo mejorar la movilidad en la tercera edad