Wanna cry que es

Wannacry killswitch

El mundo de la ciberseguridad sigue sintiendo hoy los efectos del ataque de ransomware WannaCry de 2017. Aunque la mayor parte de los daños se produjeron en las semanas posteriores al 12 de mayo de 2017, los ataques de ransomware WannaCry en realidad aumentaron un 53% desde enero de 2021 hasta marzo de 2021.

Mientras investigaba mi artículo en profundidad WannaCry: cómo el ransomware generalizado cambió la ciberseguridad, me enteré de que los ataques de WannaCry se siguen encontrando hoy en día. Aun así, me sorprendió que siga siendo un problema tan activo. Entonces, ¿qué ha pasado desde entonces? ¿Qué están haciendo estos atacantes hoy en día? ¿Cómo han respondido las organizaciones a estas amenazas? ¿Y volverá a producirse un ataque como éste?

También me preocupó un poco saber que el mayor ataque de ransomware desde WannaCry se produjo durante la reciente festividad del 4 de julio, lo que hace aún más importante que la industria de la ciberseguridad siga aprendiendo de los ataques anteriores.

Entonces, ¿cómo ha afectado el virus WannaCry a la ciberseguridad en general? Muchos cambios ya se habían producido antes de que escribiera mi artículo el año pasado. Pero tenía la corazonada de que habían evolucionado aún más tras el aumento del ransomware y la pandemia.

El virus Wannacry

WannaCry es un ransomware que se propaga aprovechando una vulnerabilidad en el protocolo Windows Server Message Block (SMB). El protocolo SMB permite la comunicación entre máquinas Windows en una red, y la implementación de Microsoft podría ser engañada por paquetes especialmente diseñados para ejecutar el código de un atacante.

Aunque un PC esté infectado, WannaCry no empieza necesariamente a cifrar los documentos. Primero intenta acceder a una URL larga y sin sentido. En caso de que pueda acceder a ese dominio, WannaCry se cierra. Esto se conoce como el “kill switch” de WannaCry.

Algunos investigadores creen que esta funcionalidad es una forma de que los creadores del malware aborten un ataque de WannaCry. Otros creen que es un intento de impedir que los investigadores ejecuten el malware y lo evalúen en un entorno “sandbox”. Sea cual sea la razón, el kill switch fue utilizado por las autoridades para frenar la propagación de WannaCry.

El ransomware WannaCry explotó en 2017, infectando más de 230.000 ordenadores en todo el mundo y causando daños valorados en miles de millones de dólares. En 2018 se vieron otras oleadas del ransomware. A continuación se presentan dos ejemplos de sectores industriales que se vieron muy afectados por el ataque.

Código Wannacry

El ransomware se ha convertido en una de las principales ciberamenazas que pueden tener efectos devastadores en las organizaciones, provocando daños financieros, inestabilidad corporativa y daños a la reputación. Este tipo de malware utiliza complejos algoritmos de cifrado que bloquean todos los archivos de una máquina a menos que se utilice una clave de descifrado para recuperar los datos. En la pantalla del dispositivo aparece un mensaje de rescate que exige a la víctima el pago de una determinada cantidad de dinero (normalmente en la criptomoneda Bitcoin) a cambio de la clave (sin ninguna certeza de que los hackers maliciosos cumplan su promesa).

Ya en 2017, el ransomware WannaCry se convirtió en uno de los ciberataques más devastadores jamás vistos. Arrasó en todo el mundo, bloqueando sistemas críticos en todo el planeta e infectando más de 230.000 ordenadores en más de 150 países en tan solo un día.

WannaCry es un cripto-ransomware, un tipo de software malicioso utilizado por los atacantes para intentar extorsionar a sus víctimas. A diferencia del ransomware de casillero (que bloquea a los objetivos de su dispositivo para que no puedan usarlo), el cripto-ransomware sólo cifra los datos de una máquina, haciendo imposible que el usuario afectado pueda acceder a ellos.

Impacto de Wannacry

Supuestamente desarrollado por el grupo norcoreano Lazarus, WannaCry combinó un código de explotación robado al gobierno de Estados Unidos con un código personalizado para crear un gusano ransomware. El gusano se desplegó en mayo de 2017 en un ataque global que infectó unos 200.000 ordenadores en un periodo de tres días. Al explotar una vulnerabilidad en los sistemas Windows, el malware podía infectar a nuevas víctimas por sí mismo, lo que le permitía propagarse exponencialmente por Internet.

Sin embargo, los daños causados por Wannacry no se repartieron uniformemente entre las diferentes empresas e industrias. Organizaciones como el Servicio Nacional de Salud del Reino Unido (NHS), que tenía un gran número de máquinas vulnerables, se vieron especialmente afectadas.    El coste de Wannacry para el NHS se estima en 100 millones de dólares.

El brote de 2017 solo se detuvo gracias al descubrimiento de un “interruptor de apagado” dentro del código de WannaCry, que, cuando se activaba, impedía que el malware se siguiera propagando o que cifrara los datos almacenados en otras máquinas. Desde el brote de 2017, se han producido otros ataques con versiones modificadas de WannaCry. Sin embargo, ninguno de ellos ha alcanzado la misma huella, coste o reconocimiento que el brote original.