Wannacry, el ransomware que está encriptando información del disco duro

El ataque se descubrió hoy día 12 de mayo cerca de las once y media cuando empezaron a tenerse problemas con servidores de correo. Poco a poco el problema ha ido alcanzando mayores dimensiones hasta el extremo de que en estos momentos de han comprobado miles de ordenadores infectados en más de 74 países del mundo.

En nuestro país la primera noticia saltó en la empresa telefónica, en la que parece que se avisó por megafonía de que los empleados apagaran los ordenadores.

Según el Centro Criptológico Nacional de España esta amenaza se vale de la vulnerabilidad EternalBlue/DoblePulsar publicada en el boletín de seguridad MS17-010 de Microsoft, para poder infectar a otros equipos Windows que estén conectados a una misma red. Según el CCN-CERT, la explotación de esa vulnerabilidad permite la ejecución remota de comandos a través de Samba.

Cómo medidas de precaución se recomienda:

  • Actualizar los sistemas operativos y aplicaciones a la última versión disponible. En caso de contar con una red, asegurarse de que todos los equipos cuenten con los parches de seguridad aplicados.

  • No ejecutar archivos de dudosa procedencia que podrían llegar como adjuntos en correos electrónicos. Esta recomendación también aplica en caso de recibir un correo sospechoso por parte de un contacto conocido.

  • Mantener actualizadas las soluciones de seguridad para poder optimizar la detección de estas amenazas
    Realizar backups periódicos de la información relevante.

  • En caso de que se trate de una empresa, también es recomendable dar aviso a los empleados de que estén alertas frente a esta amenaza y que no ejecuten archivos de procedencia sospechosa.

Personalmente añadiría una medida más, abandonar Windows como sistema operativo.

El ataque en cuestión es un ransomware llamado Wannacry y lo que hace es secuestrar un ordenador a través de un correo electrónico, ya sea a través de un archivo ejecutable, o de un link con una descarga, se logra infectar el computador. Este archivo se aprovecha de un fallo de seguridad del sistema, en este caso un exploit llamado “EternalBlue” y es así como el atacante toma control del computador. Cabe destacar que el fallo utilizado para este caso fue parchado el 14 de marzo por Microsoft, pero quienes no mantienen actualizados sus equipos son potenciales víctimas.

Una vez infectado lo que se hace es encriptar la información y posteriormente pedir un rescate. Casos ya famosos hay varios, uno podría ser el de un hotel que vio como cerraban todas las puertas de las habitaciones solicitando un rescate para abrirlas, mientras los clientes estaban encerrados.

Los equipos infectados van desde equipos personales hasta equipos profesionales de administraciones públicas, de grandes empresas o de hospitales por lo que la dimensión en esta ocasión es máxima.

Pasados un par de días del ataque se van teniendo más conocimientos de las dimensiones que ha llegado a tener.

Según diversas fuentes señalan parece que en España, además de Telefónica ha afectado a otras empresas de carácter internacional como podrían ser Vodafone, Gas Natural, Iberdrola o Indra. Estas últimas han comentado que apagaron los equipos por prevención, pero aún así se ha debido tener en cuenta que los equipos estuvieran o no parcheados y fueran susceptibles de ser exploitables.

En Francia parece que Renault ha reportado tener equipos afectados, aunque parece que ya están controlados.

En Reino Unido se ha registrado que 16 hospitales quedaron colapsados tras la infección del gusano, además de la empresa Nissan.

En Rusia se tiene constancia de que afectó al Banco de Rusia (BR), la compañía estatal de Ferrocarriles (RZhD) y el Ministerio del Interior.

Para Estados Unidos según los reportes, la compañía Fedex fue afectada también por el gusano, aunque dicen estar implementando medidas para solucionarlo.

En Alemania se ha reportado que la compañía de trenes Deutsche Bahn (DB) fue afectada por el ataque, aunque no supuso restricciones del tráfico ferroviario.

Se añaden a la lista de afectados la sueca Sandvik, Telecom en Portugal, varias universidades en China y Filipinas y al menos dos hospitales en Indonesia.

Según otras fuentes el ataque iba dirigido a Rusia, Ucrania y Taiwán.

Desde luego, lo que queda claro es que ya no solo es obviamente difícil estar protegido de las vulnerabilidades día cero, sino que las empresas a nivel mundial no se preocupan por tener sus sistemas actualizados con los parches proporcionados por el fabricante de sus sistemas, aún sabiendo que estos sistemas, Windows, son muy poco seguros.