Lo que sabemos sobre el virus con el que han atacado Teléfonica

El ataque informático que han sufrido las oficinas de Telefónica este viernes tiene nombre: ransomware. Es un tipo de malware que se caracteriza por el secuestro del ordenador, donde el atacante “bloquea” todos los archivos del disco duro y pide un rescate por ellos. Normalmente, este rescate se paga en bitcoin, la criptodivisa irrastreable con la que se suelen hacer negocios en la Deep web.

El ransomware que ha atacado Telefónica se llama WCry. Utiliza la aplicación Wanna Decryptor, que solo es una variante mejorada del malware. Esta versión es más resistente que la inicial y además, ofrece una solución en caso de que un antivirus consiga detectar y desactivar el núcleo del ransomware. Para propagarse por la red de equipos de Windows, hace uso de una vulnerabilidad de ejecución de comandos remota a través del protocolo SMB (Server Message Block - Servidor de bloque de mensajes).

WCry funciona cifrando los archivos con el estándar AES-128. Después los renombra añadiéndoles la extensión .wcry. Por ejemplo, una fotografía que se llame “Verano.jpg” pasaría a llamarse “Verano.jpg.wcry”. En la imagen de arriba, el ransomware que ha atacado Telefónica indica que el importe del pago subirá si no se hace antes de 2 días, 23 horas, 56 minutos y 56 segundos, así como que los archivos bloqueados serán borrados en 6 días, 23 horas, 56 minutos y 56 segundos. Abajo del todo aparece la cadena, el blockchain donde deben ser pagados los 300 dólares, que son 0,1675 bitcoin.

El ransomware utiliza un cifrado de clave única. Durante el ataque desarrolla solo una “llave”, que es la misma que cifra y descifra los archivos del ordenador. Para saber cual es esa llave, almacenada en la nube y que solo los desarrolladores del malware conocen, es necesario pagar los 0,1675 bitcoin (300 dólares) que exige el rescate. Aunque existen multitud de ransomwares similares, las diferencias entre uno y otro varían entre la interfaz y el precio que exigen por desbloquear los archivos.

Telefónica, sin filtros en el correo

En un primer análisis, el grupo hacktivista La Nueve, vinculado a Anonymous, explica a este diario que “lo de Telefónica ha sido el típico ransomware a través de mail dirigido a las direcciones de correo de Telefónica. El típico phising que cualquier usuaria (sea de la empresa y ámbito que sea) se come al pulsar en el enlace o bajarse un archivo sin testarlo”.

El ataque ha aprovechado un vulnerabilidad en Windows que la compañía parcheó en marzo. “Que Telefónica no tenga instalados los filtros de email adecuados para evitar que sus trabajadoras descarguen archivos infectados dice también mucho de esa compañía”, continúa La Nueve, que explica que otras empresas han sido atacadas porque “puede afectar a todas las direcciones a las que se haya enviado y donde se hayan abierto los ficheros infectados”.

Esto es lo que dice el Centro Criptológico Nacional

Se ha alertado de un ataque masivo de ransomware a varias organizaciones que afecta a sistemas Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows que haya en esa misma red.

El ransomware, una versión de WannaCry, infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota a través de SMB, se distribuye al resto de máquinas Windows que haya en esa misma red.

Los sistemas afectados son:

Microsoft Windows Vista SP2

Windows Server 2008 SP2 and R2 SP1

Windows 7

Windows 8.1

Windows RT 8.1

Windows Server 2012 and R2

Windows 10

Windows Server 2016

Microsoft publicó la vulnerabilidad el día 14 de marzo en su boletín y hace unos días se hizo pública una prueba de concepto que parece que ha sido el desencadenante de la campaña.

Se recomienda actualizar los sistemas a su última versión o parchear según informa el fabricante:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Para los sistemas sin soporte o parche, como Windows 7, se recomienda aislar de la red o apagar según sea el caso.

El CCN-CERT mantendrá actualizada esta información