Hoy en día es difícil ignorar los ataques de ransomware. Según el Informe de Crímenes en Internet del FBI, las denuncias locales sobre estas amenazas aumentaron un 20 por ciento en 2020. A nivel mundial, los ataques se incrementaron en más del 60% entre 2019 y 2020. No sólo están aumentando los ataques de ransomware, sino que también están volviéndose más notorios.
No dejes que el ransomware tome el control de tu dispositivo
Asegúrese de que su dispositivo esté protegido contra ransomware.
Pruebe Malwarebytes Premium gratis durante 14 días.
Desde oleoductos y hospitales hasta escuelas, bancos y organizaciones benéficas, parece que ninguna organización está a salvo de los ataques de ransomware. No son solo las grandes empresas las que sufren estas violaciones de seguridad cibernética. Las pequeñas empresas también son blanco del ransomware y pueden encontrar más difícil sobrevivir, ya que generalmente tienen menos recursos que las grandes compañías para recuperarse.
Aunque el ataque global de WannaCry ocurrió en 2017, muchos otros tipos de ransomware han surgido en los años siguientes. Echemos un vistazo a WannaCry y por qué fue un incidente cibernético tan significativo.
¿Qué fue el ataque de ransomware WannaCry?
"¡Oops, tus archivos han sido encriptados!"
En mayo de 2017, el ransomware WannaCry se propagó globalmente a través de ordenadores con Windows. Casi dos meses antes, Microsoft había lanzado un parche de seguridad para EternalBlue, el exploit que los atacantes usaron para propagar el ransomware WannaCry. Sin embargo, muchos usuarios de Windows en todo el mundo no habían actualizado su software o estaban usando versiones obsoletas de Windows, y por lo tanto eran vulnerables al ataque a gran escala.
Los atacantes de WannaCry encriptaron ordenadores Windows alrededor del mundo y exigieron un rescate de inicialmente $300 en Bitcoin, luego $600. Infectó un estimado de 230,000 ordenadores en 150 países en cuestión de horas. Después de propagarse rápidamente por todo el mundo, el investigador de seguridad Marcus Hutchins descubrió un interruptor de apagado que ralentizó significativamente la propagación del ataque.
Mapa de calor de la infección por ransomware WannaCry
¿Por qué tuvo tanto éxito WannaCry?
El ransomware como WannaCry suele funcionar cifrando tus archivos o bloqueando tu sistema. Luego exige un pago en forma de criptomoneda como Bitcoin porque tales monedas son más complejas de rastrear que las transferencias electrónicas, cheques o dinero en efectivo. Sin embargo, WannaCry tiene algunas características que lo hacen diferente de un ataque típico de ransomware de los que lees hoy en día.
Las ciberguerrillas suelen usar cadenas de ransomware puras para ataques dirigidos. Piénsalo como un arco y una flecha en lugar de una catapulta. El primero es mejor para acertar un objetivo a la vez, mientras que el segundo es mejor para atacar múltiples objetivos. Por ejemplo, el malware y la banda criminal detrás del ataque de ransomware al Oleoducto Colonial aparentemente se centraron en un solo objetivo. Para implantar el ransomware DarkSide, la banda aparentemente aprovechó una contraseña conocida para una cuenta antigua de Red Privada Virtual (VPN).
Por otro lado, WannaCry fue más como una catapulta. Hizo honor a su nombre al infectar cientos de miles de computadoras en más de 150 países en tan solo unas pocas horas. No dejó a nadie indiferente, golpeando rápidamente todo tipo de sistemas a través de redes empresariales. Entonces, ¿por qué fue el ransomworm WannaCry tan extendido y exitoso?
1. Componente de gusano
Un gusano es un tipo de malware que puede borrar archivos, consumir ancho de banda y propagarse rápidamente sin necesitar un archivo huésped. Se autopropaga, lo que significa que, a diferencia de un virus, no necesita activación humana para comenzar su actividad maliciosa. Además, los gusanos pueden soltar malware como el ransomware. WannaCry afectó las PC con Windows como un incendio forestal gracias a su componente de gusano.
2. Exploits
Un exploit es una vulnerabilidad del sistema no parcheada que un delincuente cibernético puede aprovechar para actividades maliciosas. La falla que explota WannaCry está en cómo Windows gestiona el protocolo SMB (Server Message Block). En resumen, el protocolo SMB permite a los nodos de la red comunicarse. Aunque Microsoft reparó las vulnerabilidades en 2017, los actores de amenazas continúan usando vulnerabilidades SMB incluso hoy para ataques de troyanos y ransomware porque muchos usuarios de Windows no descargan actualizaciones.
¿Qué sectores fueron los más afectados por WannaCry?
El ataque de WannaCry se propagó tan rápidamente e infectó tantas computadoras en todo el mundo que muchas industrias se vieron afectadas. Estas incluyen:
- Sanidad
- Emergencias
- Seguridad
- Logística
- Telecomunicaciones
- Gas
- Petróleo
- Automotriz
- Educación
- Publicidad
¿Cuántos ordenadores infectó WannaCry?
WannaCry afectó un estimado de 230,000 computadoras. El malware impactó las operaciones de hospitales, servicios de emergencia, estaciones de gasolina e incluso fábricas. Algunas estimaciones sitúan el costo financiero del ataque en miles de millones.
¿Quién creó WannaCry?
Los Estados Unidos culpan oficialmente a Corea del Norte por el ataque de WannaCry y hasta acusaron a tres norcoreanos por el malware y el hackeo de Sony Pictures Entertainment de 2014. Curiosamente, la NSA (Agencia de Seguridad Nacional) también pudo haber tenido un papel en el ataque de WannaCry, aunque de manera no intencionada.
Supuestamente, la NSA descubrió la vulnerabilidad SMB que explota WannaCry. Más tarde, esta herramienta de explotación llamada EternalBlue fue supuestamente robada de la organización de inteligencia y filtrada por The Shadow Brokers (TSB), un grupo de hackers.
¿Sigue siendo WannaCry una amenaza?
WannaCry es menos amenazante en gran parte, gracias a la heroica intervención de Marcus Hutchins. El investigador de seguridad informática británico desarrolló un interruptor de apagado mediante ingeniería inversa y honeypots que impidió que WannaCry siguiera ejecutándose. Además, un equipo de investigadores franceses encontró una manera de descifrar algunos ordenadores afectados sin pagar un rescate.
Sin embargo, WannaCry sigue activo. Asegúrese de actualizar su sistema operativo Windows regularmente para mantenerlo al día con los últimos parches de seguridad. También puede confiar en la inteligente tecnología anti-malware de Malwarebytes para detectar y eliminar proactivamente Ransom.WannaCrypt.
¿Qué hace WannaCry si no se paga?
WannaCry exige $300 en Bitcoin después de bloquear un sistema. Más tarde, duplica la tarifa de extorsión. También amenaza con borrar sus datos de forma permanente en tres días. Aquí en Malwarebytes, recomendamos no pagarle a las bandas de ransomware, en parte porque fomenta que más delincuentes busquen una manera rápida de hacerse ricos. Además, no hay garantía de que podrá desbloquear sus archivos o su computadora. Por ejemplo, no todas las víctimas de WannaCry recuperaron sus archivos después de pagar, posiblemente debido a un defecto en el propio ransomware.
¿Cuáles son algunas buenas estrategias para mitigar el ransomware?
Para los dispositivos que usas en casa, utiliza software antivirus/anti-malware que proteja contra todo tipo de software malicioso, incluyendo protección contra ransomware. Para las empresas, las estrategias para mitigar el ransomware incluyen:
- Utiliza software de ciberseguridad que pueda detectar y bloquear amenazas de ransomware.
- Haz copias de seguridad de tus datos con frecuencia y desconecta tus copias de seguridad críticas.
- Segmenta tu red.
- Cierra exploits revisando regularmente las actualizaciones de seguridad.
- Ten cuidado con las amenazas de ransomware como correos electrónicos de phishing.
- Configura contraseñas complejas y cámbialas periódicamente.
- Protege tu sistema y cuentas esenciales con autenticación de dos factores.
Malwarebytes anti-ransomware para empresas
Malwarebytes Endpoint Detection and Response ofrece opciones de respuesta más allá de solo alertas, incluyendo el motor de remediación Linking Engine y el retroceso de ransomware.
Artículos de WannaCry de Malwarebytes Labs
- Microsoft lanza parche para prevenir vulnerabilidad al nivel de 'WannaCry'
- Los archivos de Amenaza Persistente Avanzada: Grupo Lazarus
- Cómo los actores de amenazas están utilizando las vulnerabilidades de SMB
- Todo esto del EternalPetya me hace WannaCry
- Lunes de amenaza móvil: Escáner falso de WannaCry
- ¿Quieres descifrar tus archivos? La solución WannaCry, para algunos
- ¿Cómo se propagó el ransomware WannaCry?
- ¿Quieres llorar un poco más? Edición especial de ransomware
- El gusano que propaga WanaCrypt0r