Seguridad
Ciberseguridad
Malware
exploit
cibercrimen

Claves para saber si estás a salvo de WannaCry

En los últimos días hemos asistido al comienzo de la infección de un troyano denominado WannaCry. Aunque, más que de infección habría que hablar de toda una pandemia global. Se han llegado a contabilizar cerca de 45.000 ataques en un solo día. Sin embargo, se teme que el número real sea mucho mayor.

Servicio Antiransomware INCIBE

Hospitales británicos, ministerios rusos, entidades de todo tipo y genero… Todos ellos informaron simultáneamente de una infección. Rusia, Ucrania, India, Taiwán… Un ataque global en toda regla. Sólo en su primer día de ataque, WannaCry ya estaba presente en 74 países, incluido España, donde la repercusión ha sido muy grande a pesar de no ser uno de los países más afectados.

¿Por qué estas cifras? ¿Qué es WannaCry? ¿Cómo debemos ponernos a salvo de él? Lo primero es conocer su naturaleza, y dicha amenaza está construida en dos piezas: la primera es un exploit que se encarga de la infección y de la propagación; la segunda, se trata de un cifrador que se descarga en un ordenador después de ser infectado.

¿Dónde reside la particularidad de esta amenaza? En la primera, que es la que diferencia a WannaCry de la mayoría de cifradores. Para infectar un ordenador con un cifrador normal, el usuario debe cometer un error. Ejemplo: haciendo clic en un enlace sospechoso, lo que da pie a descargar un adjunto malicioso de un correo electrónico o dar vía libre a que Word ejecute macros maliciosas. WannaCry puede infectar un sistema sin que el usuario haga nada.

El exploit y su propagación

Los creadores de WannaCry se han aprovechado de un exploit de Windows conocido como EternalBlue, parcheado por Windows con la actualización de software MS17-010 el 14 de marzo del presente año. Mediante el exploit, pudieron obtener acceso remoto a los ordenadores e instalar el cifrador.

Por lo tanto, si se ha instalado la actualización, no hay nada que temer y los intentos de hackear el equipo no pasarán de eso. Pero, por si acaso, a los investigadores del equipo GReAT de Kaspersky Lab les gustaría recalcar que el hecho de parchear la vulnerabilidad no detendrá del todo al cifrador. Por tanto, si se abre de algún modo -voluntariedad manifiesta-, el parche quedará en desuso.

Una vez el ordenador ha sido hackeado con éxito, WannaCry intenta distribuirse por toda la red local hacia otros ordenadores del mismo modo en que lo haría un gusano. El cifrador busca la vulnerabilidad EternalBlue en otros ordenadores y, cuando WannaCry encuentra un dispositivo vulnerable, lo ataca y cifra sus archivos.

En conclusión, al infectar un ordenador, WannaCry puede hacer lo propio con toda una red local y cifrar todos sus ordenadores. Ésa es la razón por la que las grandes empresas son las que más han sufrido por el ataque de WannaCry (a más ordenadores en la red, mayor puede ser el daño).

WannaCry: el cifrador

Como cifrador, WannaCry se comporta como cualquier cifrador: cifra los archivos de un ordenador y pide un rescate para descifrarlos. ¿Qué archivos? A saber: documentos de Office, imágenes, vídeos y otros tipos de archivos que puedan contener información importante para el usuario. Las extensiones de los archivos cifrados se renombran a .WCRY y el archivo se vuelve del todo inaccesible.

Una vez conseguido su propósito, el troyano cambia el fondo de pantalla con una imagen que contiene la información sobre la infección y las acciones que se supone que el usuario debe llevar a cabo para recuperar los archivos. Es más, para que el usuario reciba el mensaje, WannaCry deja notificaciones en formato de archivos de texto con la misma información en todas las carpetas del ordenador.

Su modo de actuar, el típico: exigir la transferencia de cierta cantidad de dinero, en bitcoins, a sus creadores. Tras ello, dicen que descifrarán todos los archivos. En un principio, los ciberdelincuentes pedían 300 dólares, pero luego subieron el rescate a 600 dólares.

Además del rescate, los ciberdelincuentes también intentan intimidar a las víctimas afirmando que la cantidad del rescate se incrementa pasados tres días. Para reforzar su amenaza, insisten en que pasados siete días es imposible descifrar los archivos.

¿Pagar? No se recomienda. Quizá la razón más persuasiva para no hacerlo sea que no hay garantías de que los delincuentes vayan a descifrar los archivos tras recibir el pago. De hecho, los investigadores han demostrado en otras ocasiones que los ciberextorsionistas simplemente borraron los archivos de los usuarios

Un dominio para derrotar a WannaCry

Y sí, es cierto: un simple dominio de poco más de 10 euros detuvo, por el momento, a WannaCry. El protagonista de la hazaña, un investigador llamado Malwaretech. Éste fue quien se dio cuenta de que algunas versiones de WannaCry se dirigían a ese dominio y, si no recibían una respuesta positiva, instalaban el cifrador para comenzar su trabajo sucio. Si había una respuesta (es decir, si se había registrado el dominio), el malware detenía su actividad.

Tras encontrar la referencia a este dominio en el código del troyano, el investigador registró el dominio y suspendió el ataque. Durante el resto del día, el dominio tuvo miles de peticiones, lo que significa que miles de ordenadores se salvaron.

Existe una teoría que afirma que esta funcionalidad se integró en WannaCry (como un disyuntor) por si algo salía mal. Otra teoría, apoyada por el propio investigador, dice que es un modo de complicar el análisis del comportamiento del malware. Los entornos de prueba usados en las investigaciones están diseñados para que cualquier dominio devuelva una respuesta positiva; en esos casos, el troyano no haría nada porque está dentro de dicho entorno.

Aviso a navegantes: en las nuevas versiones del troyano, a los delincuentes les bastará con cambiar el nombre del dominio indicado como “disyuntor” para continuar con las infecciones continuarán. Es decir, el brote WannaCry continuará.

Cómo defenderse de WannaCry

A día de hoy, aún no existe un modo de descifrar los archivos que WannaCry ha cifrado, pero los investigadores trabajan en ello. Sólo queda la prevención como mejor arma a esgrimir.

Por si acaso, y para minimizar los posibles daños, ahí van algunos consejos:

· Si ya hay instalada una solución de seguridad de Kaspersky Lab en el sistema, se recomienda iniciar un análisis manual de las áreas críticas. Si la solución detecta MEM:Trojan.Win64.EquationDrug.gen (así es como el antivirus detecta WannaCry), hay que eliminarlo y reiniciar el sistema.

· Si es usuario de seguridad de Kaspersky, hay que mantener activo System Watcher. Es esencial para luchar contra cualquier nueva variante del malware que pueda aparecer.

· De cajón: instalar las actualizaciones de seguridad. Esto es para que todos los usuarios de Windows instalen el parche MS17-010. Microsoft también lo ha lanzado para otros sistemas que ya no reciben asistencia oficial, como Windows XP o Windows 2003. Obligatorio, en definitiva.

· Crear copias de seguridad de forma regular y guárdalas en dispositivos que no estén conectados al ordenador constantemente. Si se dispone de una copia reciente, la infección de un cifrador no es una catástrofe; se solucionará pasando unas horas reinstalando el sistema operativo y las aplicaciones y, luego, restaurando los archivos. Si se está demasiado ocupado como para realizar las copias, utiliza la característica para ello integrada en Kaspersky Internet Security, que puede automatizar el proceso.

· Usar un antivirus de confianza. Kaspersky Internet Security puede detectar WannaCry de forma local y durante los intentos de difundirse mediante una red. Es más, System Watcher, un componente integrado, puede deshacer cambios indeseados, lo que significa que evitará el cifrado de archivos incluso con las versiones de malware que aún no están en la base de datos del antivirus.

INFORMACIÓN ADICIONAL

 

¿Podría tu empresa sobrevivir al ataque de un cryptor? Aprende a protegerte frente al ransomware de cifrado.