El ransomware que atacó a Telefónica se propaga: Wanna Decrypt0r deja KO varios hospitales en UK

Ransomw

El ciberataque que parecía haber afectado solo a Telefónica es en realidad un ciberataque a nivel mundial que se aprovecha de WanaCrypt0r, el ransomware que es una nueva versión del conocido WCry/WannaCrt y que está secuestrando equipos de intranets empresariales a un ritmo asombroso.

Los datos que se están publicando en medios y redes sociales permiten verificar que este ciberataque está propagándose por varios países de todo el mundo, y que está mucho más presente en Rusia o en Taiwán. España, Alemania, Japón o Turquía están también en esa lista de grandes afectados, y el ataque no respeta a nadie: lo demuestra su presencia incluso en hospitales, como ha ocurrido en el Reino Unido o en Italia.

Difícil saber el alcance del ataque

Aún es pronto para poder conocer cuántas empresas y organismos han sufrido este ciberataque, pero varios expertos en seguridad aseguran que lo que está sucediendo en España se queda en poca cosa si lo comparamos con los casos que ya se han detectado en países como Rusia o Taiwán.

Por el momento hemos podido conocer pocas empresas afectadas aparte de la confirmación de Telefónica. En España las reacciones de otras empresas han sido variadas y han ido de la precaución al pánico, mientras que fuera de nuestras fronteras ya hay un caso especialmente llamativo: el de la seguridad social británica.

Uno de los hospitales del sistema sanitario británico ha tenido que detener prácticamente todos sus servicios debido a un ataque de ransomware. La imagen de una de las empleadas del hospital muestra cómo se trata del mismo malware que ha afectado a Telefónica, pero las reacciones de personas como un doctor del hospital afectado también mostraba su frustración, mientras que la BBC alerta de que ya son varios los hospitales afectados por el problema:

El ataque parece estar produciéndose también en una universidad italiana. Uno de sus alumnos publicaba la siguiente foto hace unas horas:

WNCRY, la extensión maldita

Como confirmaban los expertos, todo apunta a que el vector de ataque ha podido ser algún tipo de spam con adjunto que alguno de los usuarios de la intranet empresarial haya abierto. A partir de ahí el exploit habría aprovechado la vulnerabilidad no parcheada para instalar el ransomware y para propagarse por la red sin piedad. Aún así no se sabe con exactitud cuál ha sido la verdadera vía que ha detonado esa infección masiva de equipos.

Wncry

Como indicábamos anteriormente, este ransomware cifra todos los ficheros con extensiones "populares", les añade una extensión .WNCRY y además crea un fichero de texto en el disco duro de la víctima llamado @PleaseReadMe@.txt que es el que indica cómo librarse del problema: pagando una cantidad de dinero en bitcoin, algo que permite mantener el anonimato del atacante, que supuestamente envía la clave para descifrar los datos secuestrados una vez recibido el pago.

Hay herramientas que permiten detectar el ransomware antes de que entre en acción. Yago Jesús, un conocido experto en ciberseguridad español, comprobaba tras la propagación de este ciberataque como la aplicación Anti Ramson v3 es capaz de detectar y bloquear la infección... si la ejecutas antes de que entre en acción, claro.

No era un ataque específico a Telefónica

EL ciberataque sufrido por Telefónica desde hace horas no parece por tanto el centro de este suceso, y todo apunta a que los responsables del mismo han activado el ransomware al mismo tiempo en todas las máquinas infectadas en distintas empresas.

Smittix El módulo EternalBlue en funcionamiento para aprovechar la vulnerabilidad de Microsoft que aparentemente hace que el ransomware (o cualquier otro ejecutable que queramos) pueda entrar en acción

En Xataka hemos contactado con Omar Benbouazza, experto en seguridad que entre otras cosas es organizador de las conferencias RootedCON, y como él mismo explicaba el ataque estaba dirigido a los empleados de Telefónica, pero en realidad "es un ataque de ransomware a nivel mundial".

Como indicaban otras fuentes, el malware utilizado es Wanna Decrypt0r 2.0, que como Benbouazza confirmaba "es una actualización de un ransomware que estuvo afectando también a nivel mundial durante el mes de abril". Este experto nos remitía al artículo de otro consultor en seguridad llamado James "Smittix" Smith que realizaba una prueba de concepto para explotar la vulnerabilidad MS17-010 usando EternalBlue, una de las herramientas utilizadas por la NSA.

En Xataka | Wanna Decryptor: así funciona el ransomware que se ha usado en el ciberataque a Telefónica

También te recomendamos

Wanna Decryptor: así funciona el ransomware que se ha usado en el ciberataque a Telefónica

Reacción de las empresas españolas al ataque a Telefónica: entre la precaución y el pánico

En Melbourne los árboles son una cuestión de Estado: sus habitantes pueden adoptar uno

-
La noticia El ransomware que atacó a Telefónica se propaga: Wanna Decrypt0r deja KO varios hospitales en UK fue publicada originalmente en Xataka por Javier Pastor .

0 comentarios: