¿Qué es el ransomware WannaCry?
El ransomware WannaCry puede cifrar sus archivos, carpetas y aplicaciones, y hacerlos inaccesibles hasta que pague un rescate. El número de ataques de ransomware a las empresas aumenta, tanto en tamaño como en escala: sepa quién creó WannaCry, cómo infecta las redes y cómo puede proteger sus sistemas contra este tipo de ataques.
¿Qué es un ataque de ransomware WannaCry?
WannaCry es un tipo de ransomware, un malware que cifra los datos, ya sean archivos concretos o sistemas informáticos completos, y exige el pago de un rescate para descifrarlos. WannaCry infecta los dispositivos explotando una vulnerabilidad en el software de Windows y ha causado graves daños económicos y de reputación.
WannaCry fue desarrollado a partir de un exploit llamado EternalBlue robado a la Agencia de Seguridad Nacional (NSA) de Estados Unidos por el grupo de hackers The Shadow Brokers. El grupo utilizó el exploit para atacar sistemas operativos Windows a los que les faltaban parches o actualizaciones. Aunque Microsoft había publicado parches para reforzar su software, muchas organizaciones no habían instalado estas actualizaciones, lo que permitió a los hackers aprovechar las vulnerabilidades y llevar a cabo el ataque.
El 12 de mayo de 2017, el ransomware WannaCry protagonizó uno de los ataques más importantes hasta la fecha. Se propagó a más de 230 000 PC con Windows en más de 150 países en un solo día, y afectó a empresas, organismos gubernamentales e instalaciones médicas. Entre las empresas más afectadas se encuentran Telefónica, Deutsche Bahn, LATAM Airlines Group y FedEx, así como las empresas del sector del automóvil Hitachi, Renault y Honda.
El Servicio Nacional de Salud (NHS) del Reino Unido también fue uno de los muchos servicios sanitarios que se vieron afectados debido a que el software de Windows no estaba parcheado, lo que provocó que varios sistemas quedaran cifrados e inaccesibles. El ataque provocó daños por valor de miles de millones de dólares en todo el mundo y se considera uno de los ataques de ransomware más importantes hasta la fecha.
Finalmente, el experto en ciberseguridad Marcus Hutchins detuvo el ransomware WannaCry. Ese mismo mes, desarrolló un nombre de dominio que actuaba como un interruptor de corte para detener el malware en seco y dificultó cualquier intento de eliminación.
Muchas empresas son ahora conscientes de la importancia de los parches, pero los delincuentes disponen de muchos métodos para acceder a los sistemas empresariales. El ransomware sigue siendo un peligro importante por varias razones:
- Puede provocar grandes daños económicos y de reputación.
- Por término medio, el tiempo de inactividad que experimenta una empresa tras un ataque de ransomware es de 21 días.
- Puede provocar problemas de conformidad y exponer a su empresa a nuevas consecuencias.
¿Quién creó WannaCry?
Aunque The Shadow Brokers robó el exploit EternalBlue a la NSA, el código fue desarrollado y convertido en arma por otros grupos de hackers. Tanto el Gobierno británico como el estadounidense han anunciado desde entonces que creen que el Grupo Lazarus, una división de hackers de Corea del Norte, es el responsable de WannaCry.
En febrero de 2021, el Departamento de Justicia de Estados Unidos confirmó que tres programadores informáticos norcoreanos fueron acusados de crear y distribuir el ransomware WannaCry, extorsionar a las víctimas y robar datos confidenciales.
¿Cómo infecta WannaCry las redes?
El ransomware WannaCry busca vulnerabilidades en los sistemas operativos Windows, y para ello utiliza el código de explotación EternalBlue. Esto implica acceder al protocolo Server Message Block (SMB), que permite a los usuarios acceder a los archivos y servicios compartidos, cifrar los archivos y luego pedir un pago de rescate. Es similar al ransomware Phobos, un tipo de ransomware más antiguo que busca puertos del Protocolo de Escritorio Remoto (RDP) sin protección.
En el caso de un ataque de WannaCry, el exploit enviará un código de solicitud de SMB Echo a un protocolo de bloque de mensajes de servidor (SMB) utilizado por los dispositivos de Microsoft Windows. Si no hay respuesta a la solicitud, se establece una puerta trasera (una vía de entrada al sistema que evita las medidas de seguridad de autenticación y autorización).
Mediante el uso de la herramienta de malware de puerta trasera, DoublePulsar, para ejecutar el ransomware WannaCry, los hackers pueden crear una conexión que permita obtener información o introducir malware, como el ransomware WannaCry, en el sistema.
La herramienta permite a los hackers desarrollar una conexión entre los protocolos SMB (puerto TCP 445) o RDP (puerto TCP 3389) y despliega una llamada de procedimiento asíncrona (APC). Este paso permite que la herramienta libere una DLL en el Servicio del Subsistema de Autoridad de Seguridad Local (Lsass.exe), que es responsable de las políticas de seguridad del sistema operativo Windows, como los cambios de contraseña y los servicios de autenticación, así como de la replicación de programas. Una vez completado esto, se puede liberar shellcode en estos sistemas, lo que se conoce como heap spraying y se puede erradicar el código de puerta trasera.
Una vez que el ransomware WannaCry entra en un dispositivo, utiliza sus capacidades de gusano para escanear la red en busca de otros dispositivos que alberguen software similar sin parchear o no actualizado o vulnerabilidades y replicará su código malicioso en estos dispositivos.
A diferencia de muchos otros tipos de ataques de ransomware, WannaCry se manifiesta claramente mostrando un mensaje similar al que aparece a continuación y exigiendo el pago del rescate.
Una vez que sus dispositivos se hayan infectado, solo podrá acceder a sus archivos usando una copia de seguridad externa de sus archivos y carpetas, si dispone de ella, o pagando el rescate. Sin embargo, esto último no es aconsejable, y no hay garantías de que recupere el acceso a los sistemas operativos.
Parches de Windows
Tras los ataques del ransomware WannaCry en 2017, Microsoft desarrolló parches de seguridad de emergencia para todos sus sistemas Windows, incluidos Windows XP, Windows Vista, Windows 8 y ediciones anteriores de Windows Server. Anunciaron que los clientes que tuvieran activadas las actualizaciones automáticas estarían protegidos; a los que tuvieran configurada la actualización manual se les «animaba a instalar la actualización lo antes posible».
Los ataques de ransomware siguen evolucionando, y aumentan tanto en frecuencia como en sofisticación, por lo que las tarifas medias de los rescates han aumentado de 5 000 dólares en 2018 a unos 200 000 dólares en 2020, según el Instituto Nacional de Seguridad. En 2021, una compañía de seguros realizó un pago de 40 millones de dólares, lo que supuso un nuevo récord mundial del mayor pago por ransomware.
El malware sigue siendo un negocio lucrativo para los ciberdelincuentes, y muy pocas cepas de ransomware cuentan con claves de descifrado de acceso público. Por ello, eliminar el ransomware de su PC y de los dispositivos asociados es complicado, y quizá no pueda recuperar sus archivos (aunque su empresa pague el rescate). Por lo tanto, resulta fundamental tomar las medidas necesarias para evitar los ataques de ransomware, lo que incluye la aplicación de parches de software, para asegurarse de que su empresa siga estando a salvo de futuros ciberataques.
¿Sigue activo WannaCry?
El ataque de WannaCry de mayo de 2017 se pudo detener gracias a un interruptor de corte, y Microsoft publicó un parche para proteger los sistemas operativos vulnerables del exploit EternalBlue, pero el ransomware sigue siendo una amenaza activa.
WannaCry sigue siendo actualizado por grupos de hackers y representa una importante amenaza para las empresas. Sofisticadas cepas de ransomware, como Petya y NotPetya, se inspiraron en WannaCry y cuentan con capacidades similares, ya que buscan la misma vulnerabilidad en las aplicaciones de Windows. También ha aumentado el porcentaje de organizaciones afectadas por ataques de ransomware en todo el mundo, pasando del 55,1 % en 2018 al 68,5 % en 2021.
Ante las numerosas amenazas del panorama de la ciberseguridad, resulta esencial la instalación de herramientas de protección contra el ransomware.
Cómo se previene un ataque de ransomware
Es fundamental tomar medidas activas para evitar los ataques de ransomware a su empresa y así mantener seguros sus activos digitales:
- Inspecciones periódicas de la red: las inspecciones rutinarias de sus actividades empresariales deben incluir evaluaciones de vulnerabilidad que analicen la red, los dispositivos conectados y las aplicaciones en busca de cualquier vulnerabilidad del software que pueda conducir a un ataque o a una filtración de datos.
- Formación en materia de ciberseguridad: las estrategias de seguridad deben incluir la formación en ciberseguridad. El objetivo es concienciar a los empleados sobre los vectores de ataque más comunes, como recibir un correo electrónico de una fuente desconocida y ser víctima de phishing, o hacer clic en un archivo adjunto que podría contener un troyano.
- Política de contraseñas: la adopción de una política de contraseñas debe animar a los empleados a utilizar contraseñas seguras que protejan la organización frente a las amenazas externas, así como el uso de un control de acceso basado en funciones para proteger los datos y los archivos sensibles.
- Actualizar el sistema operativo y las aplicaciones: es fundamental evitar las amenazas que pueden afectar a su empresa y proteger los archivos y aplicaciones importantes. Esto incluirá la actualización periódica de sus sistemas y el despliegue de herramientas que parcheen automáticamente cualquier vulnerabilidad del software.
Protéjase contra un ataque del ransomware WannaCry
Desde 2017, Avast ha bloqueado más de 170 millones de ataques del ransomware WannaCry. Descubra cómo nuestras soluciones para pequeñas empresas pueden proporcionar a su negocio herramientas de protección sencillas pero potentes, que protegen sus dispositivos y datos contra el malware, el phishing, el ransomware y otros ciberataques avanzados.