En el ciberataque a Telefónica se habría usado, según el Centro Criptológico Nacional (CCN), una versión de WannaCry, un Ransomware proviene del inglés Programa de Rescate, es un tipo de malware o software malicioso que es enviado por piratas informáticos con el objetivo de restringir el acceso a determinados sistemas, equipos y archivos de una estructura infectada, para luego pedirle al propietario un rescate a cambio de liberar el sistema, algo que se conoce comúnmente como un secuestro.
Según el CCN, esta versión de ransomware infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota a través de SMB, se distribuye al resto de máquinas Windows que haya en esa misma red.
Como bien sabemos, el ransomware, puede llegar a ser tan violento que cifra los archivos del sistema operativo bloqueando por completo un hardware, lo que obliga al usuario a pagar definitivamente por la liberación del mismo.
Pero, ¿cómo llega el ransomware a un sistema? Tiene dos maneras de propagarse el software malicioso, cómo un troyano, que se presenta a algún usuario de la red dónde se encuentra el sistema operativo o el servidor que contiene los archivos a secuestrar, haciéndose pasar por un correo electrónico o como un programa legítimo para su descarga, una vez instalado toma el control del sistema sin ninguna posibilidad de hacer informáticamente nada.
Existen hasta hoy cuatro tipos, que a su vez se convierten en miles de distribuciones distintas con sus adaptaciones propias, de Ransomware: Reveton que fue el primero identificado en 1989, CryptoLocker que fue lanzado en 2013, CryptoLocker.F and TorrentLocker una evolución del anterior propagada en el año 2014 y CryptoWall que fue determinado también en 2014. Y ahora sale en las noticias WannaCry como el responsable de este ciberataque global.
Pistas sobre WannaCry y Lazarus
El lunes 15 de mayo, un analista de seguridad de Google publicó un twit que señalaba una potencial conexión entre los ataques de ransomware de WannaCry que han afectado recientemente a miles de organizaciones de todo el mundo, y el malware atribuido al grupo Lazarus, responsable de una serie de ataques contra organizaciones gubernamentales, medios de comunicación e instituciones financieras:
9c7c7149387a1c79679a87dd1ba755bc @ 0x402560, 0x40F598
ac21c8ad899727137c4b94458d7aa8d8 @ 0x10004ba0, 0x10012AA4#WannaCryptAttribution— Neel Mehta (@neelmehta) 15 de mayo de 2017
Desde Kaspersky recuerdan que las mayores operaciones vinculadas al grupo Lazarus incluyen: los ataques contra Sony Pictures en 2014, el ciberataque del Banco Central de Bangladesh en 2016 y una serie de ataques similares en 2017. Explican que el analista de Google señaló la muestra del malware WannaCry, que apareció en febrero de 2017, dos meses antes de la reciente oleada de ciberataques.
Así, los analistas del GReAT de Kaspersky Lab analizaron esta información, identificaron y confirmaron similitudes de código entre la muestra de malware destacada por el analista de Google y las muestras de malware utilizadas por el grupo de Lazarus en los ataques de 2015.
Ahora bien, según Kaspersky Lab, la semejanza, por supuesto, podría ser una pista falsa. Sin embargo, el análisis de la muestra detectada en febrero y la comparación con las muestras de WannaCry utilizadas en ataques recientes muestran que el código que señala al grupo Lazarus fue eliminado del malware WannaCry, usado en los ciberataques iniciados el viernes pasado. Esto puede ser un intento de los orquestadores de la campaña de WannaCry de ocultar pruebas .
Aunque esta semejanza no prueba que exista una conexión fuerte entre el ransomware de WannaCry y el del grupo de Lazarus, puede conducir potencialmente a nuevos que arrojen luz al origen de WannaCry, que por el momento sigue siendo un misterio, tal como han explicado desde Kaspersky.
Cómo protegerse del ransomware
Los expertos en seguridad como Kaspersky Lab recomiendan acciones básicas pero efectivas para protegerse del ransomware, como:
- La instalación de un antivirus que esté constantemente renovando el listado de infecciones para que pueda identificar rápidamente el malware antes de que comience a encriptar información
- Y realizar un respaldo con distintos niveles de seguridad, al que no se pueda ingresar simplemente entrando al sistema, que requiera un segundo y tercer nivel de autenticación.
Periodista, amante de las redes sociales y de la tecnología, dad´s since 2015.
