El ataque que sufrió Telefónica este viernes fue sólo la puerta de entrada para algo que es mucho más serio y que no se limita a una compañía, ni siquiera a un país. El ataque masivo de ransomware conocido como #WannaCry (Wanna Decryptor) no ha sido frenado y sigue expandiéndose por todo el mundo, dejando compañías e instituciones afectadas debido al secuestros de sus dispositivos.
Después de darse a conocer la noticia, algunas empresas españolas comenzaron a tomar medidas, pero con el paso de las horas se ha confirmado que se trata de un ciberataque a nivel mundial que está creciendo a un ritmo impresionante. Este ataque ya ha afectado a varios hospitales en Reino Unido, así como instituciones en Rusia, Ucrania, Taiwán y muchos países más.
Costin Raiu, director de investigación global de Kaspersky Lab, informaba a las 10.00 PT (19.00 España, 12.00 México) que hasta ese momento se habían registrado más de 45.000 ataques en 74 países alrededor del mundo.
En punto de las 12.15 PT (21.00 España, 14.00 México) la firma de seguridad Avast actualizaba la cifra a más de 75.000 dispositivos secuestrados en 99 países.
Rusia, Taiwán y España son hasta el momento los países más afectados, y se empiezan a ver pagos en bitcoins en las cuentas de los supuestos secuestradores. Un informe inicial de MalwareTech se plantea que el código de ransomware se basa en 'EternalBlue', un exploit usado por la NSA que fue publicado por el grupo Shadow Brokers en marzo de este año, el cual afectaba a los dispositivos Windows. Microsoft publicó un parche preventivo en abril, pero al parecer aún había muchas personas sin actualizar sus ordenadores.
La compañía de mensajería FedEx confirmó que han detectado ataques basados en el ransomware #WannaCry en un "gran número" de ordenadores Windows en sus oficinas de Reino Unido, por lo que habían decidido implementar medidas para contener el ataque lo más pronto posible. A pesar de que no se conocen los detalles de estas "medidas", la cuenta de Twitter 'SwiftOnSecurity' asegura que todos los empleados de FedEx en Estados Unidos han recibido la orden de apagar y desconectar de la red todos sus dispositivos Windows no esenciales, para así evitar una posible propagación.
Por otro lado, El gobierno ruso confirmó que al menos 1.000 ordenadores del Ministerio del Interior resultaron afectados por ataque. Sin embargo, aseguran que todo está bajo control y han podido contener el ataque con éxito, todo esto sin haber perdido información.
Cómo actúa el ransomware
El ransomware es un tipo de malware informático que se instala de forma silenciosa en dispositivos móviles, y ordenadores de todo tipo, y que una vez se pone en acción cifra o encripta todos los datos para bloquear el acceso a ellos sin la contraseña que permite descifrarlos.
Los responsables de Telefónica han difundido este mensaje a los usuarios de su Intranet para que dejen de usar el ordenador de forma inmediata.
El mecanismo de acceso del malware a los ordenadores afectados es variado, pero sobre todo se suele infectar a la víctima a través de correos con spam: recibos o facturas falsas, ofertas de trabajo, advertencias de seguridad o avisos de correos no entregados, etc.
Si la víctima abre el fichero ZIP que normalmente se adjunta en dichos correos, se activa un JavaScript malicioso que hace que se instale el malware para que el ciberatacante lo active cuando lo considere oportuno.
Ese tipo de ataque puede activarse también a través de exploits que aprovechen vulnerabilidades de todo tipo. Los últimos datos del ciberataque sufrido por Telefónica parecen apuntar a equipos con Windows, y justo esta semana Microsoft publicaba un parche para una vulnerabilidad crítica "zero-day" que había descubierto recientemente y que era especialmente peligrosa.
O pagas, o te olvidas de tus datos (más o menos)
Para lograr la contraseña los responsables de este tipo de ciberataque piden un rescate que a menudo es económico. Como se ve en la imagen, lo que ven los usuarios afectados suele ser una pantalla informativa en la que se pide una cantidad de dinero (en este caso, 300 dólares en bitcoin) que se deben pagar en un plazo establecido, o de lo contrario esos datos quedarán bloqueados para siempre.
Esto es lo que están viendo en sus pantallas actualmente los afectados por este ransomware
Los afectados por el ciberataque tienen pocas opciones, y de hecho muchos se plantean pagar directamente esas cantidades ya que la recuperación de los datos suele ser muy difícil en caso contrario.
Incluso pagando, avisan los expertos en seguridad, las garantías de que el atacante ofrezca la clave de cifrado no son totales, algo que nos deja aún más vulnerables. Aquí lo ideal es, como apuntan empresas de seguridad como Kaspersky, es contar con copias de seguridad: los backups nos pueden salvar de estas situaciones, sobre todo si la empresa sigue una política adecuada con actualizaciones frecuentes de esas copias. Eso permitiría a los afectados recuperar los datos (o la gran mayoría de ellos) a partir de esos backups y poder obviar la amenaza.
En Telefónica ya están trabajando para tratar de resolver el problema y Chema Alonso, CSO de la empresa, emitía un pequeño comunicado a través de Twitter para indicar que la situación está ahora mismo afectando además a otras empresas.
El problema, eso sí, no afecta a consumidores o clientes de Movistar, cuyo acceso a los servicios de voz y datos proporcionados por la compañía siguen funcionando con normalidad.
Wanna Decryptor, un ransomware que se propaga a través de la red
Las capturas que han ido apareciendo en los últimos momentos apuntaban a que el ransomware utilizado en este ciberataque ha sido Wanna Decryptor (Wcry), un conocido malware que cifra datos a través del algoritmo AES para luego plantear ese rescate. La CCN-CERT confirma que en efecto este ransomware es el utilizado en este ciberataque.
Como explicaban en MySpybot, uno de los problemas de obtener la clave para descifrar los datos es que no está en el ordenador local, sino almacenada en la máquina desde la que se realiza el ataque, lo que obliga a los usuarios a hacer el pago para poder recuperar el acceso a sus datos si no tienen algún tipo de backup para recuperar esos datos desde él.
Otro de los problemas adicionales que plantea este ransomware en concreto es que no solo afecta a los datos locales, sino que además se propaga por la red, cifrando los formatos de fichero más populares para acabar "destruyendo" el acceso a datos compartidos en una intranet sin que los usuarios puedan hacer mucho por evitarlo.
Para quienes deseen ver en tiempo real como este ransomware se propaga por el mundo, pueden entrar a este mapa interactivo donde se muestra en tiempo real el estado actual del ataque en todo el mundo.
A pesar de que este mapa nos muestra actividad en varias regiones del mundo, son muy pocas las compañías que han confirmado el ataque a sus dispositivos, como en el caso de México, el cual aparece con varios ataques pero hasta el momento ninguno se ha hecho público.
¿Como protegerse?
El fallo más grave era que “podía permitir la ejecución remota de código si un atacante ejecuta una aplicación especialmente diseñada que se conecta a un servidor iSNS y, a continuación, emite solicitudes malintencionadas en el servidor”.
Si aún no te ves afectado necesitas descargar la actualización, puedes hacerlo desde Windows Update o dando click aquí o aquí.
De acuerdo con el New York Times el malware fue distribuido a través de correos electrónicos. Las víctimas recibieron un archivo comprimido y cifrado que una vez descargado se infiltró por toda la red. Otros nombres para el ransomware son WanaCrypt0r, WannaCrypt o Wana Decrypt0r.
La actualización es una acción preventiva pero ¿qué debe hacer si su computadora ya fue infectada?
Paso 1. Presione el logo de Inicio.
Paso 2. Selecione Apagar/ Reiniciar.
Paso 3. Aparecerá la opción Suspender/ Apagar/ Reiniciar. Presione la tecla Shift (la que tiene una flecha hacia arriba) y seleccione Reiniciar sin dejar de presionar Shitf.
Paso 4. El equipo se reiniciará “opciones avanzadas de arranque”. Elija “Solucionar Problemas”.
Paso 5. Seleccione “Opciones Avanzadas”, no pulse “Restablecer este equipo”.
Paso 6. Una vez en Opciones avanzadas, seleccione Configuración de Inicio.
Paso 7. Ya en Configuración de Inicio, presione “Reiniciar”.
Paso 8. Cuando la máquina se reinicie aparecerán las opciones de las teclas de función, seleccione Habilitar modo seguro con símbolo del sistema y presione la tecla Enter (algunos teclados dicen Intro). Se reiniciará el ordenador.
Paso 9. Ahora usted está en MS-DOS, el Sistema operativo de disco de Microsoft. Cuando el símbolo del sistema se cargue, verá la siguiente línea “C:\windows\system32\”, escriba “cd restore” y presione Enter.
Paso 10. Usted debe leer una línea que dice C:\windows\system32\restore. Escriba rstrui.exe y presione Enter.
Paso 11. Se abrirá la pantalla de Restore System Files and Settings; eliga “Next” o Siguiente.
Paso 12. Seleccione uno puntos de restauración disponibles y anterior a la fecha de infección. Nuevamente elija “Siguiente”.
Paso 13. Se le informará que el proceso es irreversible, por lo tanto, usted debe elegir Sí, o “Yes”, dependiendo del idioma en que le aparezca el mensaje. Este proceso podría tomar un par de horas.
Paso 14. Reinicie su máquina de manera normal y ejecute el parche de vulnerabilidad, además de analizar sus archivos con el antivirus de su preferencia. Borre todas las entradas relacionadas con el ransomware.
Si aún tiene dudas puede ver la explicación de Microsoft dando click aquí.
Estaremos pendientes de cualquier novedad al respecto de este tema, y en caso de ser necesario actualizaremos de inmediato.
Entradas
0 comentarios :
Publicar un comentario