Actualización del 14 de mayo a las 5:17 p.m. PT: Microsoft ha criticado a la NSA por lo que dice que es el papel de la agencia en armar una debilidad en Windows y permitiendo que los hackers lo roben, lo que supuestamente se utilizó para lanzar el mayor ataque de ransomware en historia.

Según lo informado por el Los Angeles Times, "Este ataque proporciona otro ejemplo más de por qué el almacenamiento de vulnerabilidades por parte de los gobiernos es un problema", escribió Brad Smith, presidente y director legal de Microsoft.

Un ataque masivo de ransomware se extendió por todo el mundo el 12 de mayo, con informes de sistemas informáticos bloqueados en Rusia, Europa occidental, Asia oriental y América del Norte. Los hospitales británicos y una empresa de telecomunicaciones española fueron las víctimas más visibles, pero el mayor número de ataques parecía estar en Rusia.

Una pantalla de rescate de WanaCrypt, capturada por el cazador de malware francés Kafeine. Crédito: Kafeine
(Crédito de la imagen: una pantalla de rescate de WanaCrypt, capturada por el cazador de malware francés Kafeine. Crédito: Kafeine)

Qué necesitas hacer: Si no ha instalado los paquetes de Windows Update de marzo, abril o mayo, hágalo de inmediato. Vale la pena apagar su sistema por unos minutos si le da la oportunidad de evitarlo. Si todavía usa Windows XP, no tiene suerte, pero los paquetes de actualización de marzo y abril deberían estar disponibles para Windows Vista. (ACTUALIZAR: Microsoft tiene lanzó un parche para Windows XP y su contraparte de servidor Windows 2003.)

El ransomware, llamado de forma variable WanaCryptor 2.0, WannaCry, WCry o WCrypt, parecía estar utilizando un exploit que fue desarrollado hace años por la Agencia de Seguridad Nacional de los Estados Unidos (NSA) y se reveló públicamente en un volcado de mes. Microsoft parcheó en secreto Windows contra el ataque en marzo, pero aparentemente muchos sistemas en grandes organizaciones no se habían actualizado.

MÁS: ¿Qué es el ransomware y cómo puedo protegerme?

Impacto global

Varios sistemas hospitalarios en Inglaterra informaron que las pantallas de sus computadoras mostraban un mensaje exigiendo $ 300 en Bitcoin. El gigante español de las telecomunicaciones Telefónica tuvo sus sistemas derribados por ransomware que mostró un pantalla de rescate casi idéntica a la de los hospitales ingleses, según un informe del periódico El Mundo.

UNA mapa interactivo en vivo publicado en el blog de tecnología británico MalwareTech mostró infecciones en los Estados Unidos, Canadá, México y la mayoría de los países de América del Sur y Asia Oriental. Pero Europa, incluida Rusia, parecía tener la concentración más densa.

ZDNet informó que al menos 16 sistemas hospitalarios del Servicio Nacional de Salud (NHS) en Inglaterra habían sido afectados por el ransomware, y que las infecciones también habían aparecido en Escocia. los BBC elevó ese número a 25 sistemas hospitalarios y dijo que la primera ministra Theresa May estaba siendo informada de la situación. Según los informes, los hospitales ingleses y escoceses posponían citas y enviaban a los pacientes a instalaciones no afectadas.

Firma de antivirus rusa Kaspersky Lab dijo que había detectado más de 45.000 infecciones en 74 países, la gran mayoría de ellas en Rusia. La firma antivirus checa Avast detectaron 57.000, siendo los países más afectados Rusia, Ucrania y Taiwán. Inglaterra NHS y Equipo de respuesta a emergencias informáticas de España cada uno emitió advertencias públicas.

Un feed de Twitter que supuestamente pertenece a un grupo hacktivista que se autodenomina SpamTech se atribuyó la responsabilidad del ataque, afirmando que "El 'WannaCry / WCRY' fue creado por uno de nuestros miembros. Nos hemos hecho cargo de las computadoras del NHS y de los principales componentes de operaciones de ingeniería ". El grupo no ofreció ninguna prueba para verificar su afirmación.

Se propaga solo

El ransomware parece ser "desparasitante". En otras palabras, se propaga de un sistema a otro por sí mismo como un gusano informático, en lugar de depender de la interacción humana como un caballo de Troyao infectar aplicaciones de escritorio como una Virus de computadora.

"Algo como esto es increíblemente significativo", tuiteó el bloguero detrás MalwareTech. "No hemos visto P2P" (malware que salta de una computadora "igual" a otra) "propagándose en la PC a través de exploits a esta escala en casi una década".

Otros expertos compararon la infección actual con el gusano Conficker, que sigue atacando los sistemas informáticos de todo el mundo a pesar de que la falla de seguridad que explota fue reparada en 2008.

Sin embargo, Conficker no causa ningún daño inmediato y se esconde para poder usar computadoras infectadas como parte de una "red de bots" para enviar spam y software antivirus falso. El gusano que se propaga hoy alerta inmediatamente al usuario de su presencia, mostrando dos relojes de cuenta atrás: el primero vinculado a una fecha límite en la que aumentará el monto del rescate, el segundo a cuándo se eliminarán todos los archivos cifrados eliminado.

MÁS: Los mejores servicios de protección de identidad

La demanda de rescate de $ 300 (en algunos casos, $ 600) indica que los hospitales y otras grandes organizaciones no parecen haber sido seleccionados como objetivos, sino más bien infectados al azar. En ataques de ransomware anteriores contra grandes instituciones, los ciberdelincuentes que ejecutan el malware han aumentó las demandas de rescate a decenas de miles de dólares una vez que se dieron cuenta del valor de los infectados sistemas.

Los archivos de imagen, película, correo electrónico, base de datos y Microsoft Office se encontraban entre los que se destinaban al cifrado, al igual que los archivos que contienen claves de cifrado.

Algunas de las víctimas parecían estar pagando, con dos de las carteras de Bitcoin: aquí y aquí - especificados como destinatarios por las pantallas de ransomware que informan hoy de 16 pagos por un total de aproximadamente $ 4,675.

"Una cosa es segura", dijo Rich Barger, director de investigación cibernética del fabricante de software de base de datos Splunk, en un comunicado. "Alguien se volverá muy rico o pasará mucho tiempo en la cárcel".

Vínculos con la NSA

Al menos dos informes dijeron que el ransomware WanaCryptor estaba usando un exploit de la NSA llamado ETERNALBLUE que fue revelado en un caché de archivos publicados en línea por WikiLeaks, un grupo que se hace llamar ShadowBrokers el 14 de abril. Los archivos cifrados reciben el sufijo de archivo ".wncry".

ETERNALBLUE explota una falla previamente desconocida en el protocolo Server Message Block (SMB) de Microsoft. (SMB permite que las máquinas de la misma red compartan el acceso a impresoras, archivos, puertos de red y otros objetos) ShadowBrokers el verano pasado intentó y no pudo subastar una gran cantidad de información que el grupo dijo que había sido robada. de la NSA.

La divulgación pública del código de ETERNALBLUE por parte de ShadowBrokers causó una cantidad moderada de pánico en el mundo de la seguridad de la información, hasta que Microsoft reveló el día después del volcado que silenciosamente había parcheado la falla de SMB - y varios otros mencionados en el volcado - un mes antes, con la seguridad de marzo "Patch Tuesday" actualizaciones.

ACTUALIZAR: El ataque de ransomware fue detenido en seco el viernes por un profesional de seguridad de la información británico, que activó un "interruptor de apagado" involuntario en WanaCryptor, más o menos por accidente.

El profesional de TI seudónimo, que bloguea bajo el nombre de MalwareTech, analizó el código de WanaCryptor y notó que se comunicó con un servidor en una dirección web específica. Vio que no había un servidor real en esa URL, por lo que compró el nombre de la dirección; en términos técnicos, registró el dominio y configuró su propio servidor "sumidero" para ver cuántas computadoras infectadas se conectarían lo.

Para sorpresa de MalwareTech, las muestras de ransomware que él y otros investigadores estaban analizando dejaron de encriptar de repente las máquinas infectadas.

"Confesaré que no sabía que registrar el dominio detendría el malware hasta después de registrarlo, por lo que inicialmente fue accidental", MalwareTech tuiteó tarde el viernes. "Así que solo puedo agregar 'detenido accidentalmente un ciberataque internacional' a mi currículum".

En un detallado publicación de blog, MalwareTech explica que el "interruptor de interrupción" puede haber sido diseñado para ocultar el ransomware de investigadores de antivirus, que a menudo ejecutan malware en entornos restringidos que simulan Internet conexiones. Es posible que los delincuentes detrás del malware no hayan pensado que alguien registraría ese dominio.

Microsoft también se tomó la molestia de lanzar parches contra el ransomware para Windows XP y Windows Server 2003, los cuales dejaron de recibir parches de seguridad regulares en 2014. Es probable que muchos de los hospitales británicos afectados todavía estuvieran ejecutando Windows XP, del que dependen muchos dispositivos médicos heredados.

Si no ha actualizado sus sistemas para prevenir la infección por WanaCryptor, hágalo de inmediato, porque el interruptor de interrupción de MalwareTech no es una solución permanente.

"Una cosa que es muy importante tener en cuenta es que nuestro hundimiento solo detiene esta muestra", señaló en la publicación de su blog. "No hay nada que les impida eliminar la verificación de dominio y volver a intentarlo, por lo que es increíblemente importante que todos los sistemas sin parche se actualicen lo antes posible".

  • La mejor protección antivirus para PC, Mac y Android
  • 10 peores filtraciones de datos de todos los tiempos
  • La seguridad de su enrutador apesta: aquí le mostramos cómo solucionarlo