Ya son cerca de 179 países afectados por el ransomware WannaCry (WCry), que el viernes infectó las oficinas centrales de Telefónica en Madrid, los hospitales de la NHS (el sistema de seguridad social británico) e incluso el ministerio de Interior ruso, la banca o los transportes. China confirma que ha sido atacada, como la empresa de paquetería FedEx en sus oficinas de Reino Unido. Además, algunas estaciones de tren en Alemania también se han visto afectadas por el ataque. Deutsche Bahn, la compañía nacional de transportes alemana, ha confirmado que “debido a un troyano, existen fallos del sistema en varios lugares”.
WCry se ha distribuido por correo. Al infectar un equipo, el ransomware escaneaba el resto de equipos de la red a los que estaba conectado el ordenador, propagando la infección. El malware ha aprovechado una vulnerabilidad de Windows, desde el 7 hasta el 10, pasando por Vista, XP, RT y Server (2008, 2012 y 2016). Entra a través de los puertos 137, 138 UDP y 139, 445 TCP. O lo que es lo mismo, a través del protocolo SMB (Server Message Block - Servidor de bloque de mensajes), que sirve para compartir archivos, equipos, impresoras y demás dispositivos en una red de área local (LAN). Este tipo de redes son las que usan todas las empresas para trabajar internamente.
Un investigador de ciberseguridad británico de 22 años ha sido nombrado por las redes sociales como el “héroe anónimo” que ha conseguido detener la amenaza de WCry. @Malwaretechblog en Twitter, con la ayuda de Darien Huss, de la firma Proofpoint, han encontrado un “botón rojo” en el ransomware que lo detiene. Esta línea de código fue incluida por el creador de WCry. Se trata de una dirección web no registrada a la que el malware realizaba una petición, una .com con letras y números muy larga, casi críptica, y que terminaba en “gwea.com”.
Si WCry no obtiene respuesta de esa web, se expande. Si se activa, se detiene. Por eso el investigador compró el dominio por unos 10 euros. “Vi que no estaba registrado y pensé, 'ya lo tengo'”, ha dicho el investigador de 22 años a The Daily Beast. Al comprar el dominio, comprobó que este registraba cientos de peticiones por segundo. Esto era WCry infectando cientos de ordenadores en todo el mundo.
Una herramienta de la NSA
Chema Alonso, director digital de Telefónica, resta importancia al ataque en su blog personal, donde explica que “esta crisis ha sido más mediática en las redes sociales que en la realidad interna de Telefónica, donde los equipos infectados están controlados y están siendo restaurados”. Además, asegura que la amenaza le pilló de vacaciones “pues como todo buen trabajador había solicitado desde hacía más de un mes, una semana de vacaciones que tenía marcada a fuego para comenzar antes de ayer jueves”.
Turquía, Portugal, Rusia, China, México, Chile, España y así una larga lista de países que se han visto afectados por el ransomware WCry. Es un software malicioso incluido en ETERNALBLUE, un paquete de herramientas que salió a la venta en la Deep web en abril. Dentro de ese paquete hay más herramientas que pertenecen a Equation Group, un grupo de hackers vinculado a la NSA. En agosto del año pasado otros hackers, The Shadow Brokers, les robaron y se hicieron con un arsenal de exploits, virus, troyanos y demás aplicaciones utilizadas habitualmente por la agencia de espionaje estadounidense.
En diciembre, The Shadow Brokers ya pusieron a la venta en la Deep web un primer paquete de herramientas. Hace poco publicaron la segunda parte, enteramente relacionada con exploits para Windows, desde Windows 2000 hasta Server 2012, pasando por Windows 7 y 8. No pusieron precio al pack, sino que abrieron una puja hasta que el mayor postor se hiciese con ella.
Aunque el pasado marzo Microsoft parcheó la vulnerabilidad, ha habido empresas a las que no le ha dado tiempo a instalar la nueva actualización o que directamente no lo han hecho. Este ataque ha sido más importante que Mirai, la botnet que en octubre apagó Twitter, Facebook, Netflix o Spotify. Suma muchos más ataques en el mundo, según el mapa actualizado en tiempo real de MalwareInt.
La amenaza de WCry se disipa, aunque lentamente. Los equipos que el viernes no estaban actualizados ya lo están, y los que han sido infectados están siendo tratados por los equipos de ciberseguridad de las empresas. El ransomware pedía 300 dólares en bitcoin (0,1675 btc) para liberar los archivos antes de dos días, pero como se puede comprobar en la blockchain, hasta el momento, de las tres direcciones que disponía WCry para pagar (dirección 1, dirección 2, dirección 3) pocos han sido quienes lo han hecho. A las 13 horas del sábado, WCry apenas suma 50 pagos. Ahora mismo, los hackers tienen en su poder unos 15.000 dólares, una cantidad relativamente pequeña si se compara con el revuelo mundial que han provocado.