¿Qué es el ataque de ransomware WannaCry?

WannaCry es un criptogusano ransomware que apareció por primera vez el 17 de mayo de 2017. También conocido como WannaCrypt, WannaDecryptOr 2.0 y WanaDecryptOr 2.0, se dirige específicamente a los equipos que ejecutan cualquier versión del sistema operativo de Microsoft.

Los ciberdelincuentes engañan a los usuarios o utilizan la ingeniería social para descargar el virus y obtener acceso a computadoras y redes. Encripta o "secuestra" archivos, aplicaciones y programas esenciales de muchas redes informáticas. Los ciberdelincuentes utilizan este ataque de ransomware WannaCry para exigir al usuario un pago (o rescate) para restaurar los archivos cifrados.

El ransomware puede costarle a su empresa hasta $2 millones por incidente Crear un sistema de backup dinámico es una de las mejores formas de evitar que su red sea tomada como rehén. Veeam puede ayudar a su empresa ofreciéndole un backup seguro que protege sus datos más importantes si es víctima de un ataque de ransomware. En la mayoría de los casos, puede volver a funcionar rápidamente.

Cómo funciona

WannaCry usa una vulnerabilidad en el Bloque de mensajes del servidor (SMBv1) del sistema operativo Microsoft. Cuando WannaCry infecta una computadora o una red informática, aparece una pantalla en la computadora del usuario que dice que los archivos han sido cifrados y que el usuario debe pagar un rescate de 300 $ en bitcoins en un plazo de tres días o 600 $ dentro de siete.

Quizás lo más interesante, y una advertencia para todas las empresas para que actualicen el software periódicamente, es que Microsoft descubrió la vulnerabilidad por su cuenta y lanzó un parche para todos los sistemas compatibles dos meses antes de que apareciera WannaCry. Más tarde lanzó un parche para versiones anteriores de Microsoft. Por desgracia, esta solución no impidió el uso de WannaCry.

Cómo se propaga WannaCry

WannaCry se concentra en una versión anterior de SMBv1. Se descarga a sí mismo en las computadoras como un programa autónomo que extrae los componentes necesarios para cifrar los datos del usuario. Se propaga rápidamente en cualquier red que utilice máquinas Microsoft más antiguas, incluidas las que ya no cuentan con servicio, como Windows XP y Windows 7.

WannaCry también es un gusano de red que puede transportarse a sí mismo. Una vez que inicialmente engaña a un usuario para que descargue el virus, puede propagarse automáticamente mediante un código de propagación. WannaCry busca otras máquinas que podrían estar infectadas y luego utiliza un hackeo desarrollado inicialmente por la Agencia de Seguridad Nacional de los Estados Unidos (NSA) para acceder a las computadoras. Luego obtiene acceso a las redes informáticas a través de DoublePulsar, un software de "puerta trasera" que fue desarrollado por la NSA, robado por un grupo de piratas informáticos conocidos como Shadow Brokers (un nombre inspirado en un personaje del videojuego Mass Effect) y luego lanzado al público en abril de 2017. Los investigadores dijeron que DoublePulsar infectó a varios cientos de miles de máquinas después de solo unos días y estaba creciendo rápidamente.

Kill Switch de WannaCry

Una vez lanzado, WannaCry intenta acceder a una URL codificada de forma fija denominada kill switch. Encripta los datos esenciales en la computadora si no puede llegar a esa URL. Si el software se conecta a esa URL, el software se detiene y no se producen más daños.

Los expertos en computación que estudiaron WannaCry no están seguros de por qué se usó. WannaCry usa una URL sin sentido (por ejemplo, iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea(dot)com) como interruptor de emergencia. Marcus Hutchins, un investigador de seguridad británico, comenzó a estudiar el virus WannaCry casi de inmediato. Se dio cuenta de que intentaba ponerse en contacto con esta URL, concluyendo que el software se comportaba de esta manera para despistar a los investigadores y complicar el análisis del código.

Sin embargo, Hutchins hizo más que estudiar el virus. Pagó para registrar esta URL y creó una página web, evitando que muchas versiones de WannaCry cifraran archivos en otras computadoras en todo el mundo. A medida que los ciberdelincuentes continuaron usando diferentes URL sin sentido en las versiones más recientes, otros investigadores informáticos duplicaron las acciones de Hutchins registrando las URL, creando sitios web y haciendo que WannaCry fuera ineficaz. A los pocos días del ataque inicial, el ataque de ransomware WannaCry se había reducido a un hilillo. Las versiones más recientes de WannaCry evitan usar el interruptor de emergencia.

La historia de WannaCry

La NSA descubrió la vulnerabilidad SMBv1 varios meses antes de los ataques de WannaCry. Luego desarrolló un hackeo para explotar el sistema conocido como EternalBlue, pero no le dijo a Microsoft que había encontrado esta vulnerabilidad. Después, los Shadow Brokers hackearon a la NSA en abril de 2017, robaron el código de EternalBlue y lo divulgaron. Si bien hubo versiones de WannaCry flotando en Internet durante meses antes de los ataques de mayo de 2017, los ciberdelincuentes usaron EternalBlue para hacerlo mucho más peligroso.

¿Quién creó WannaCry?

Ningún grupo reclamó públicamente la propiedad de WannaCry. Sin embargo, los investigadores de las empresas de ciberseguridad descubrieron que el código utilizado en WannaCry tenía similitudes con el código utilizado anteriormente por el Lazarus Group (que se han llamado también a sí mismos los Guardianes de la Paz). Se cree que este grupo está conectado con el gobierno de Corea del Norte y fue responsable del ciberataque de 2014 contra Sony Pictures en respuesta a una película de Sony que mostraba al dictador norcoreano Kim Jong-un siendo asesinado.

Después de varios meses de investigación, el gobierno de Estados Unidos acusó formalmente a Corea del Norte de ser responsable de WannaCry. Corea del Norte negó todas las acusaciones. Nueva Zelanda, Japón y Canadá se unieron a Estados Unidos para culpar a Corea del Norte. Posteriormente, el Reino Unido dijo que los Estados Unidos tenían razón en su evaluación.

Muchos expertos en investigación informática y gobiernos extranjeros también han criticado a la NSA por no notificar a Microsoft de antemano que había encontrado la vulnerabilidad SMBv1. Muchos creen que la NSA podría haberle dicho discretamente a Microsoft sobre el problema sin hacerlo público. El presidente ruso, Vladimir Putin, culpó directamente a los servicios de inteligencia estadounidenses por el virus WannaCry porque creó EternalBlue.

¿Por qué funciona WannaCry?

WannaCry funciona porque depende de varios factores clave:

Muchas empresas utilizan sistemas operativos Windows más antiguos y no soportados

Muchas empresas en todo el mundo, especialmente en los países en desarrollo, no pueden permitirse comprar un nuevo software cada vez que un nuevo sistema operativo de Microsoft está disponible. Tampoco pueden permitirse comprar computadoras más nuevas que usen los nuevos sistemas operativos de Microsoft. Muchas redes informáticas en todo el mundo siguen utilizando sistemas operativos de Microsoft con la vulnerabilidad SBMv1. Como resultado, es fácil para WannaCry infectar computadoras a escala global.

Incluso con los sistemas operativos más recientes, muchos usuarios y empresas no actualizan de manera periódica sus sistemas cada vez que Microsoft lanza nuevos parches para corregir vulnerabilidades

Esto es cierto incluso en empresas que tienen grandes operaciones de seguridad en Internet. Muchos citan preocupaciones comerciales, como el tiempo de inactividad de la red o la preocupación de que los parches más recientes inutilicen otro software, para no descargar parches.

Muchas empresas no quieren tomarse el tiempo o gastar dinero para crear copias de seguridad seguras de sus documentos más importantes

Quizás la mejor manera de vencer al ransomware como WannaCry es tener un sistema seguro de backup de sus documentos más importantes. Desafortunadamente, muchas de las empresas afectadas por WannaCry no lo habían hecho. Tuvieron que cerrar unidades esenciales de sus negocios, incluidas plantas completas en algunos casos, o pausar la producción por completo durante varios días.

El impacto

El impacto de WannaCry es mundial y bastante grande. Las estimaciones de diferentes grupos de investigación sitúan el número de ordenadores infectados entre 200.000 y 250.000 en 150 países. El virus afecta a Taiwán, India, Ucrania y Rusia, principalmente debido al uso de sistemas operativos más antiguos de Microsoft. Gracias a las medidas defensivas, como el descubrimiento del kill switch por parte de Marcus Hutchins, los países de América del Norte se ven menos afectados.

Quizás la agencia más grande afectada por el virus WannaCry fue el Servicio Nacional de Salud de Inglaterra y Escocia. WannaCry no solo afectó a las computadoras, sino que también afectó a los refrigeradores de almacenamiento de sangre, a los equipos de los quirófanos y a los escáneres de resonancia magnética. El virus obligó al NHS a cancelar miles de visitas hospitalarias que no eran de emergencia, lo que le costó millones de libras.

Otras organizaciones afectadas por WannaCry fueron las comisarías de policía de la India; universidades de Grecia, Canadá e Indonesia; fabricantes de automóviles en Rusia, Rumania y Japón; FedEx; hospitales en Eslovaquia e Indonesia; las redes de telecomunicaciones de Portugal y Arabia Saudita; el ferrocarril ruso; e incluso los tribunales de Brasil. Estas son solo algunas de las cientos de empresas y organizaciones afectadas por WannaCry. Mientras que WannaCry solo exige un rescate simple de $300 a $600 en pago, el costo total para las empresas se estimó en $4 mil millones en pérdidas de producción.

Respuesta defensiva

Sin duda aguijoneado por la explotación de versiones anteriores de su sistema operativo, Microsoft incorporó herramientas anti-ransomware en Windows 10 y Windows 11. Conocida como Acceso controlado a carpetas, esta herramienta solo permite que las aplicaciones verificadas se descarguen en las computadoras.

También a los pocos días de los ataques iniciales de WannaCry, Microsoft lanzó parches para corregir esta vulnerabilidad en sus sistemas operativos más antiguos y no compatibles. Si bien este fue un paso inusual para Microsoft, la compañía sintió que era necesario proteger a los usuarios contra WannaCry.

Muchas personas no pagaron el rescate. Los investigadores descubrieron que el virus WannaCry había sido liberado antes de que estuviera completamente listo. Debido a esto, los ciberdelincuentes no pudieron determinar quién había pagado la tarifa de rescate y no pudieron devolver el acceso a los archivos cifrados. Además, las agencias gubernamentales y de seguridad se dieron cuenta de que pagar a los ciberdelincuentes sólo los alentaba a crear más ransomware sin garantizar que recuperaría sus datos incluso si pagaba.

¿WannaCry sigue siendo una amenaza?

Desafortunadamente, WannaCry todavía está afectando a las computadoras en 2023. Muchos expertos en seguridad creen que, a pesar de los efectos devastadores de WannaCry, no se produjeron mejoras duraderas en la ciberseguridad . Muchas empresas todavía utilizan sistemas operativos de Microsoft más antiguos y no han podido actualizar el software con los parches necesarios para evitar WannaCry. Las empresas no han capacitado a sus empleados para que reconozcan los correos electrónicos de phishing o los ataques de ingeniería social. Muchas empresas todavía no han instalado sistemas de backup seguros, creyendo falsamente que nunca les sucederá a ellas.

Estrategias de mitigación de ransomware

Si bien los ataques de ransomware han aumentado considerablemente en los últimos años, como muestra el informe Tendencias de ransomware 2024 sobre estos ataques, las estrategias de mitigación también han mejorado.

Una de las mejores formas de protegerse contra los ataques de ransomware es contar con personal capacitado para reconocer las señales. Los empleados deben recibir capacitación para detectar correos electrónicos de phishing que contengan archivos adjuntos peligrosos. Un experto en informática comentó: "Si se les da a elegir entre los pingüinos bailarines y la seguridad de la computadora, la gente siempre elegirá pingüinos bailarines". No todos los ransomware son gusanos de red; la mayoría de los ransomware dependen de que los usuarios descarguen la aplicación perjudicial.

Los empleados también deben aprender a detectar la ingeniería social, que utiliza correos electrónicos que suenan oficiales de supuestas organizaciones gubernamentales o policiales para alentar a los usuarios a descargar estos archivos adjuntos.

Otras herramientas de mitigación de riesgos incluyen sistemas de backup seguros como los disponibles en Veeam que protegerán sus documentos más importantes y le permitirán restaurar sus datos en cuestión de horas, si no minutos.

Cómo prevenir el WannaCry

Hay varias formas de evitar que WannaCry infecte su computadora o red:

• Actualice su sistema para que incluya los parches más recientes
• Instale software dedicado que bloquee el ransomware
• Bloquee el puerto 445 para mayor seguridad. WannaCry utiliza el puerto 445 para muchas de sus comunicaciones, lo que le ayuda a comenzar a cifrar archivos
• Utilice sistemas de backup seguros para proteger sus datos más importantes

Cómo detectar WannaCry

Quizás la mejor manera de detectar si WannaCry está en su red es verificar los registros de su computadora y el tráfico de red. Primero, debe desactivar SMBv1 si todavía funciona en sus computadoras. SolarWinds ofrece una guía introductoria sobre cómo usar los registros del servidor para detectar WannaCry. Esté atento a la creación de archivos y al tráfico saliente en el puerto 445 (una de las razones por las que debe bloquear este puerto).

Cómo eliminar el malware WannaCry

Microsoft ahora ofrece una herramienta de eliminación de software malintencionado. El sitio de revisión de software Geek's Advice también tiene una guía sobre cómo eliminar el software manualmente. Sin embargo, puede ser difícil y no debe ser realizado por nadie que no esté familiarizado con los sistemas informáticos.

Cómo puede ayudarle Veeam

Si bien existen varias formas de evitar que el virus WannaCry y otros ransomware infecten sus redes, su última y mejor defensa es un sistema de backup seguro. La protección contra ransomware de Veeam es segura gracias a su diseño. Tener un backup confiable puede ser la diferencia entre estar operativo rápidamente después de un ataque y no pagar ni un céntimo a los ciberdelincuentes, o estar inactivo durante mucho tiempo y pagar un rescate considerable.