WannaCry

WannaCry fue un ataque global de ransomware en mayo de 2017. Sigue siendo una amenaza? Sigue leyendo para saber más.

.st0{fill:#0D3ECC;} DESCARGAR MALWAREBYTES GRATIS

También para Windows, iOS, Android, Chromebook y Para empresas

Hoy en día es difícil ignorar los ataques de ransomware. Según el Informe de Delitos en Internet del FBI, las denuncias locales por este tipo de amenazas aumentaron un 20% en 2020. A nivel mundial, los ataques aumentaron más de un 60 % entre 2019 y 2020. No solo están aumentando los ataques de ransomware, sino que también se están volviendo más prominentes.

No dejes que el ransomware se apodere de tu dispositivo

Asegúrate de que tu dispositivo está protegido frente al ransomware.
Pruebe Malwarebytes Premium gratis durante 14 días.

SABER MÁS

Desde oleoductos y hospitales hasta escuelas, bancos y organizaciones benéficas, parece que ninguna organización es inmune a los ataques de ransomware. No sólo las grandes empresas sufren estas brechas de ciberseguridad. Las pequeñas empresas también son objetivo del ransomware y pueden tener más dificultades para sobrevivir, ya que suelen disponer de menos recursos que las grandes empresas para recuperarse.

Aunque el ataque global WannaCry se produjo en 2017, muchos otros tipos de ransomware han surgido en los años posteriores. Echemos un vistazo a WannaCry y por qué fue un incidente cibernético tan importante. 

¿Qué fue el ataque del ransomware WannaCry? 

"¡Uy, sus archivos han sido encriptados!"

En mayo de 2017, el ransomware WannaCry se propagó por todo el mundo a través de ordenadores que ejecutaban Windows. Casi dos meses antes, Microsoft había publicado un parche de seguridad para EternalBlue, el exploit que los atacantes utilizaron para propagar el ransomware WannaCry. Sin embargo, muchos usuarios de Windows en todo el mundo no habían actualizado su software o utilizaban versiones desactualizadas de Windows, por lo que eran vulnerables al ataque a gran escala. 

Los atacantes de WannaCry encriptaron ordenadores de todo el mundo en Windows y exigieron un rescate de 300 dólares en Bitcoin inicialmente, y más tarde de 600 dólares. Se calcula que infectó 230.000 ordenadores en 150 países en tan solo unas horas. Tras propagarse rápidamente por todo el mundo, el investigador de seguridad Marcus Hutchins descubrió un interruptor que ralentizaba considerablemente la propagación del ataque. 

Mapa de calor de la infección por el ransomware WannaCry

¿Por qué tuvo tanto éxito WannaCry?

Un ransomware como WannaCry suele cifrar los archivos o bloquear el sistema. A continuación, exige un pago en forma de criptomoneda como Bitcoin, ya que este tipo de divisas son más difíciles de rastrear que las transferencias electrónicas de dinero, los cheques o el dinero en efectivo. Sin embargo, WannaCry tiene algunas características que lo diferencian de los típicos ataques de ransomware que se leen hoy en día.

Los ciberdelincuentes suelen utilizar cepas puras de ransomware para ataques selectivos. Piénsalo como un arco y una flecha en lugar de una catapulta. El primero es mejor para golpear un objetivo a la vez, mientras que la segunda es mejor para golpear múltiples objetivos. Por ejemplo, el malware y la banda criminal detrás del ataque del ransomware Colonial Pipeline se centraron aparentemente en un solo objetivo. Para colocar el ransomware DarkSide, la banda aparentemente aprovechó una contraseña conocida de una cuenta de red privada virtual (VPN) heredada.

En cambio, WannaCry fue más bien una catapulta. Hizo honor a su nombre infectando cientos de miles de ordenadores en más de 150 países en tan solo unas horas. No hizo prisioneros, golpeando rápidamente todo tipo de sistemas a través de redes empresariales. Entonces, ¿por qué la propagación del ransomworm WannaCry fue tan amplia y exitosa?

1. Componente del gusano

Un gusano es un tipo de malware que puede borrar archivos, consumir ancho de banda y propagarse rápidamente sin necesidad de un archivo anfitrión. Se autopropaga, lo que significa que, a diferencia de un virus, no necesita activación humana para iniciar su actividad maliciosa. Además, los gusanos pueden soltar programas maliciosos como ransomware. WannaCry llegó a los ordenadores de Windows como un reguero de pólvora gracias a su componente de gusano.

2. Explota

Un exploit es una vulnerabilidad del sistema no parcheada que un ciberdelincuente puede aprovechar para realizar actividades maliciosas. El fallo que aprovecha WannaCry se encuentra en la forma en que Windows gestiona el protocolo SMB (Server Message Block). En pocas palabras, el protocolo SMB permite que los nodos de red se comuniquen. Aunque Microsoft parcheó las vulnerabilidades en 2017, los actores de amenazas están utilizando las vulnerabilidades SMB incluso hoy en día para ataques de troyanos y ransomware porque muchos usuarios de Windows no descargan las actualizaciones.  

¿Qué sectores fueron los más afectados por WannaCry?

El ataque WannaCry se propagó tan rápidamente e infectó tantos ordenadores en todo el mundo que muchas industrias se vieron afectadas. Entre ellas: 

  • Sanidad
  • Emergencia
  • Security
  • Logística
  • Telecomunicaciones
  • Gas
  • Gasolina
  • Automoción
  • Educación
  • Publicidad

¿Cuántos ordenadores infectó WannaCry?

Se calcula que WannaCry afectó a 230.000 ordenadores. El malware afectó al funcionamiento de hospitales, servicios de emergencia, gasolineras e incluso fábricas. Algunas estimaciones cifran el coste económico del ataque en miles de millones.

¿Quién creó WannaCry?

Estados Unidos culpa oficialmente a Corea del Norte del ataque WannaCry, e incluso acusó a tres norcoreanos por el malware y el hackeo de Sony Pictures Entertainment en 2014. Curiosamente, la NSA (National Security Agency) también podría haber desempeñado un papel en el ataque WannaCry, aunque de forma inadvertida.

Supuestamente, la NSA descubrió la vulnerabilidad SMB de la que se aprovecha WannaCry. Más tarde, esta herramienta de explotación llamada EternalBlue fue supuestamente robada de la organización de inteligencia y filtrada por The Shadow Brokers (TSB), un grupo de hackers.

¿Sigue siendo WannaCry una amenaza?

WannaCry es una amenaza menor en gran parte gracias a la heroicidad de Marcus Hutchins. Este investigador británico de seguridad informática desarrolló un interruptor de desactivación mediante ingeniería inversa y honeypots que impidió que WannaCry siguiera ejecutándose. Además, un equipo de investigadores franceses encontró una forma de descifrar algunos ordenadores afectados sin pagar rescate.

Sin embargo, WannaCry sigue activo. Asegúrese de actualizar su sistema operativo Windows regularmente para asegurarse de que tiene los últimos parches de seguridad. También puedes confiar en la tecnología antimalware inteligente de Malwarebytespara detectar y eliminar Ransom.WannaCrypt de forma proactiva.  

¿Qué hace WannaCry si no se paga?

WannaCry exige 300 dólares en Bitcoin tras bloquear un sistema. Más tarde, duplica la cuota de extorsión. También amenaza con borrar tus datos permanentemente en tres días. Aquí en Malwarebytes, recomendamos no pagar a las bandas de ransomware, en parte porque está animando a más bandas de ransomware que buscan una forma rápida de hacerse ricos. Además, no hay garantías de que vayas a desbloquear tus archivos o tu ordenador. Por ejemplo, no todas las víctimas de WannaCry recuperaron sus archivos tras pagar la cuota, posiblemente debido a un fallo del propio ransomware.  

¿Cuáles son algunas buenas estrategias para mitigar el ransomware?

Para los dispositivos que utiliza en casa, utilice un software antivirus/anti-malware que defienda contra todo tipo de software malicioso, incluida la protección contra ransomware. Para las empresas, las estrategias para mitigar el ransomware incluyen: 

  1. Utilice un software de ciberseguridad que pueda detectar y bloquear las amenazas de ransomware. 
  2. Haz copias de seguridad de tus datos con frecuencia, y airea tus copias de seguridad críticas.
  3. Segmente su red.
  4. Bloquee los exploits comprobando regularmente las actualizaciones de seguridad.
  5. Desconfíe de los vectores de amenaza del ransomware, como los correos electrónicos de phishing.
  6. Establezca contraseñas complejas y cámbielas periódicamente.
  7. Proteja su sistema y sus cuentas esenciales con la autenticación de dos factores.

Malwarebytes antiransomware para empresas

Malwarebytes Endpoint Detection and Response ofrece opciones de respuesta que van más allá de las meras alertas, como Linking Engine Remediation y Ransomware Rollback.

SABER MÁS

Artículos sobre WannaCry de Malwarebytes Labs