Wannacry : El ransomware que hizo temblar al mundo

Seguramente habéis sido testigos del  fenómeno wannacry . Un malware que afectó a miles de máquinas en el mundo e hizo bastante ruido en los medios de comunicación. Muchos hablaron de ciberguerra , de caos cibercriminal , etc … Pero cuando el horno aún está caliente hay muchas aproximaciones . Por esa misma razón decidí estudiar un poco  la cosa y no dar una opinión precipitada.

Hoy vamos a hablar un poco de qué es wannacry , de por qué es tan particular, y por qué ha generado tanto pánico. Wannacry es un ransomware cuyo objetivo es de cifrar nuestros archivos (Documentos y ficheros multimedia en general ) , y a continuación pedirnos una suma de dinero para poder recuperarlos. Hasta aquí nada del otro mundo , ese tipo de estafa existe desde hace muchos años. Pero en general los ransomwares son enviados por mail a través de campañas de phishing o ingeniera social . La diferencia en el caso de wannacry es que utiliza una vulnerabilidad en el protocolo SMB de windows para infectar a las máquinas . Para explotar dicha vulnerabilidad , utiliza artilugios (Eternalblue y Doublepulsar) procedentes del arsenal de herramientas de ciberataque de la NSA , filtrados hace poco por un grupo de hacking denominado Shadow Brokers.

Ya que dichas herramientas son públicas , cualquiera puede utilizarlas . Hasta el día de hoy hubo más de 400.000 máquinas infectadas en más de 100 países . Grandes infraestructuras como hospitales , empresas o colegios  no han escapado a los tentáculos de wannacry.

Nada… eso solo afecta a empresas… no corro ningún riesgo…

Yo pensaba lo mismo hasta que decidí probarlo . La verdad es que me quedé un poco sorprendido por lo fácil que es realizarlo. He olvidado mencionarlo antes , pero por lo visto solo afecta versiones anteriores a windows 8 , como xp , vista , windows 7 o windows server 2008 .

La NSA tenía ese exploit desde el año 2011 . No sé vosotros ; pero a mi me pica un poco el cuerpo saber que lo han tenido tanto tiempo en secreto . Wanncry hizo tanto ruido que Microsoft decidió sacar un parche para versiones de windows a las cuales ya no daba soporte , como windows XP por ejemplo.

¿ Pero quién utiliza windows 7 o XP en 2017 ?

Caution con esa pregunta porque aún se sigue utilizando windows 7 y windows xp en muchas infraestructura . Para verificarlo yo mismo, solo tuve que bajar un momento a la calle y entrar en varios establecimientos como farmacias , hospitales , bancos , tiendas , cibercafés y darme cuenta de que más de la mitad utilizaba las versiones de windows afectadas .

Para los que están interesados en probar el exploit , les invito a leer este pdf redactado por Sheila A. Berta (@UnaPibaGeek) , en el que explica paso a paso y de forma detallada cómo funciona eternalblue y doublepulsar .

¿ Pero quién ha lanzado el ataque ? Seguro que Son los rusos…

Hay que ser muy prudente a la hora de buscar el o los culpables , sobre todo cuando es un tema tan importante como la cibercriminalidad . Hasta ahora , ninguna persona o grupo ha reclamado seriamente ser el autor del ataque , por lo cual no se puede acusar a nadie.

Como wannacry no ha tocado a mi puerta , fui a buscarle . Lo descargué y lo ejecuté en una maquina virtual y en pocos segundo tenía todos mis documentos cifrados y una maravillosa ventana de advertencia . No puedo decir que no me lo esperaba 🙂 . Para descifrar los archivos secuestrados , ya existen herramientas como wannakiwi .

Este suceso ha sido una catástrofe para muchas empresas , pero quizás algunas de ellas acentuarán la actualización y la seguridad de sus sistemas informáticos.Todo esto no habría ocurrido si agencias gubernamentales no aguardaban vulnerabilidades secretas para intentar utilizarlas .

Hay muchas empresas que venden herramientas para solucionar el problema , pero el antídoto más barato y eficaz para Eternalblue y Doublepulsar es la actualización del sistema.