WannaCry Ransomware Attack

Supuestamente desarrollado por el grupo norcoreano Lazarus, WannaCry combinó un código de explotación robado del gobierno de EE. UU. con un código personalizado para crear un gusano ransomware . El gusano se desplegó en mayo de 2017 en un ataque global que infectó aproximadamente 200.000 computadoras en un período de tres días. Al explotar una vulnerabilidad en los sistemas Windows, el malware podría infectar por sí solo a nuevas víctimas, lo que le permitiría propagarse exponencialmente por Internet.

Más información Programe una demostración

El daño potencial de WannaCry

La difusión del malware y el daño que causó significó que el ataque de tres días tuvo un costo global estimado en miles de millones.

Sin embargo, el daño causado por Wannacry no se distribuyó de manera uniforme en diferentes negocios e industrias. Organizaciones como el Servicio Nacional de Salud (NHS) del Reino Unido, que manejaba un gran número de máquinas vulnerables, se vieron especialmente afectadas. El costo de Wannacry solo para el NHS se estima en 100 millones de dólares.

El brote de 2017 solo se detuvo mediante el descubrimiento de un "interruptor de apagado" dentro del código WannaCry que, cuando se activó, impidió que el malware se propagara más o cifrara los datos almacenados en máquinas adicionales. Desde el brote de 2017, se han producido ataques adicionales por versiones modificadas de WannaCry. Sin embargo, ninguno de ellos ha logrado la misma huella, costo o reconocimiento que el brote original.

¿Cómo funciona el ransomware Wannacry?

Como tipo de ransomware, seguirá una serie de pasos en gran medida estandarizados, desde la infección inicial hasta la exigencia final del rescate, pasando por el cifrado de datos.

#1. Infección

A diferencia de muchas otras variantes de ransomware, WannaCry se propaga por sí solo en lugar de ser transportado por correo electrónico malicioso o instalado mediante programas de malware.

La funcionalidad del gusano WannaCry proviene del uso del exploit EternalBlue, que aprovecha una vulnerabilidad en el protocolo Server Message Block (pyme) de Windows. La vulnerabilidad fue descubierta por primera vez por la Agencia de Seguridad Nacional (NSA) y Shadow Brokers la filtró públicamente.

Después de que se filtró EternalBlue, Microsoft lanzó una versión actualizada de pyme que corrigió el problema en abril de 2017. Si bien esto fue un mes antes del brote principal de WannaCry, muchas organizaciones aún no habían instalado el parche, lo que las hacía vulnerables a WannaCry.

Las máquinas infectadas con WannaCry escanean Internet en busca de otras máquinas que ejecuten una versión vulnerable de pyme. Si se encuentra uno, el equipo infectado utiliza EternalBlue para enviar y ejecutar una copia de WannaCry en el equipo de destino. En este punto, el malware podría comenzar a cifrar los archivos de la computadora. Sin embargo, primero comprueba la existencia de un sitio web en particular. Si el sitio web existe, el malware no hace nada. Se teoriza que la presencia de este "interruptor de apagado" es una forma de detener la propagación de WannaCry (que se propaga de forma independiente una vez lanzado) o como un medio para dificultar el análisis forense (ya que la mayoría de los entornos de laboratorio de ciberseguridad pretenderán que cualquier sitio web que las solicitudes de malware existen). Si no se encuentra el dominio solicitado, WannaCry pasa a la etapa de cifrado.

#2. cifrado

Como variante de ransomware, WannaCry está diseñado para negarle al usuario el acceso a sus archivos en una computadora a menos que pague un rescate. Esto se logra mediante el uso de cifrado, donde el malware transforma los datos de una manera que sólo es reversible con el conocimiento de la clave secreta. Dado que la clave secreta de WannaCry sólo la conoce el operador del ransomware, esto obliga a la víctima a pagar el rescate para recuperar sus datos.

WannaCry está diseñado para buscar y cifrar una lista establecida de tipos de extensiones de archivo en una computadora. Esto se hace para minimizar el impacto del malware en la estabilidad de un sistema. Es posible que una computadora no pueda ejecutarse si los archivos incorrectos están cifrados, lo que hace imposible que la víctima pague un rescate o recupere sus archivos.

#3. Rescate

El malware WannaCry exigía un rescate de 300 dólares a sus víctimas. Sin embargo, la demanda de rescate era pagar en Bitcoin, no en dinero fiduciario. Como criptomoneda, Bitcoin es menos rastreable que los tipos de moneda tradicionales, lo que resulta útil para los operadores de ransomware, ya que les permite insertar una dirección de pago (similar a un número de cuenta bancaria) en un mensaje de rescate sin que esto alerte inmediatamente a las autoridades sobre su identidad. .

Si una víctima de un ataque de WannaCry paga el rescate, se le debe proporcionar una clave de descifrado para su computadora. Esto permite que un programa de descifrado proporcionado por los ciberdelincuentes revierta la transformación realizada en los archivos del usuario y devuelva el acceso a los datos originales.

Cómo protegerse contra el ransomware WannaCry

El ransomware WannaCry depende en gran medida del exploit EternalBlue para funcionar. Los autores del malware original utilizaron esta vulnerabilidad para convertir WannaCry en un gusano capaz de propagarse por sí solo. Siendo este el caso, la forma más sencilla de protegerse contra WannaCry es desactivar pyme o instalar el parche proporcionado por Microsoft que corrige la vulnerabilidad.

Sin embargo, esta es una solución a un problema muy específico. No protegerá a una organización contra otras variantes de ransomware o WannaCry propagado por diferentes medios. Para saber cómo proteger la organización contra una amplia variedad de amenazas de ransomware, consulte la solución anti-ransomware de Check Point.