Las antiguas leyendas nórdicas hablan de una enorme serpiente llamada Jörmungandr, tan grande que rodea el mundo y sostiene su propia cola entre los dientes.
Leyendas fantásticas como estas a menudo solo se mencionan en los mitos, pero el viernes pasado fuimos testigos del nacimiento de una «serpiente mundial» digital de la vida real, un gusano que se propagó tan lejos que ha abarcado el mundo, infectando servicios como el Servicio Nacional del Reino Unido. Servicio de Salud y grandes empresas en otras partes del mundo como Telefónica en España.
Aunque los expertos todavía están tratando de descubrir cómo continúa propagándose este gusano y cómo contrarrestar la amenaza, tenemos una buena idea de lo que sucedió y cómo puede tomar medidas para evitar daños en su sistema.
¿Qué sucedió?
El 12 de mayo de 2017, se produjo un ciberataque masivo por parte de un ransomware desconocido (lea más sobre ransomware aquí). Con el nombre de WannaCry, logró infectar una cantidad sin precedentes de 230 000 sistemas distribuidos en 150 países mediante una combinación de phishing y explotación de sistemas sin parches a través de bloques de mensajes de servidores locales (SMB).
El ransomware lo bloquearía de sus archivos y le mostraría una pantalla (que se muestra a continuación) que exigía $ 300 en Bitcoin dentro de los tres días para recuperar el acceso a ellos o, de lo contrario, el precio se duplicaría.
Aunque así es como funciona normalmente el ransomware, hubo un pequeño problema que hizo que se propagara aún más rápido. WannaCry se aprovechó de una falla en SMB (que es responsable de compartir archivos e impresoras) que le permitió extenderse a otras computadoras dentro de la misma subred. Solo se necesitó la infección de una sola computadora para saquear toda la red. Esto es básicamente lo que convirtió a la infección en una pesadilla para el NHS y otras grandes instituciones.
Tal vez una cosa más que vale la pena mencionar aquí es el hecho de que el exploit SMB se tomó de la fuga del kit de herramientas de piratería de la NSA hace más de un mes Hemos informado sobre una filtración similar de los archivos de la Bóveda 7 de la CIA, que también contenían una variedad de exploits funcionales que los piratas informáticos podrían usar en cualquier momento para escribir malware similar.
El interruptor de matar
Un investigador de seguridad desconocido que se hace llamar «MalwareTech» registró un dominio que se encontró dentro del código de WannaCry que detuvo la propagación del software. Verá, cada vez que el malware se ejecutaría en una computadora, verificaría si el dominio existe (por cierto, es iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com). Si se registra, el malware podría conectarse a él y, al hacerlo, dejaría de propagarse de inmediato. Parece que el hacker que lo escribió quería probar las aguas y tener un plan de contingencia en caso de que las cosas se vuelvan completamente locas. Este momento fortuito impidió que el ransomware causara más estragos… al menos por ahora.
Aquí está la triste verdad: no hay un final feliz aquí. Descompile el código y podrá encontrar fácilmente las piezas en las que la aplicación llama a las funciones WinAPI «InternetOpenURLA()» o «InternetOpenA()». Eventualmente, podrá editar el fragmento donde intenta conectarse al dominio del interruptor de emergencia. No se requiere un programador extraordinariamente hábil para hacer esto, y si algún hacker tiene la brillante idea de hacer una nueva versión de WannaCry con el interruptor de apagado editado antes de que todos parcheen sus sistemas, la propagación continuará. Los piratas informáticos más emprendedores incluso editarán la cuenta de Bitcoin a la que deben ir los pagos y obtendrán una gran ganancia.
Ya se han detectado versiones de WannaCry con diferentes dominios de interruptores automáticos y aún tenemos que confirmar si ha aparecido una versión sin interruptores automáticos.
¿Qué puedes hacer?
A la luz de lo sucedido, Microsoft ha respondido rápidamente con parches, incluso cubriendo versiones de sistemas operativos no compatibles como Windows XP. Mientras mantenga su sistema actualizado, no debería experimentar la infección a nivel de SMB. Sin embargo, aún puede sufrir una infección si abre un correo electrónico de phishing. Recuerde nunca abrir archivos ejecutables enviados como archivos adjuntos de correo electrónico. Mientras ejerza un poco de prudencia, debería poder sobrevivir al ataque.
En cuanto a las instituciones gubernamentales que fueron pirateadas, esto no sucedería si simplemente hicieran un espacio de aire en sus sistemas de misión crítica.
¿Deberíamos esperar ataques más audaces después de que los hackers implementen exploits encontrados en las recientes filtraciones de seguridad de EE. UU.? ¡Cuéntanos lo que piensas en un comentario!