Al menos 74 países afectados por ciberataque masivo, dirigido sobre todo a Rusia

0
387

Estados Unidos, España, Portugal, Reino Unido y Rusia, entre los afectados. Estos virus informáticos cifran la información de los ordenadores a cambio de un rescate. Decenas de miles de ataques de ransomware tienen como blanco organizaciones de todo, sobre todo Rusia.

La firma de seguridad Kaspersky Lab ha registrado más de 45,000 ataques en 74 países en las últimas 10 horas, según reportes de CNN en español.

El ransomware, llamado “WannaCry”, bloquea todos los archivos de un ordenador infectado y pide al administrador de la computadora que pague para recuperar el control de los mismos. Los investigadores dicen que se está extendiendo a través de un exploit de Microsoft Windows llamado “EternalBlue”, para el que Microsoft lanzó un patch (parche) para en marzo. Un grupo de hacking filtró el exploit en un trove de otras herramientas de espionaje de la Agencia de Seguridad Nacional de EUA el mes pasado.

“Las máquinas afectadas tienen seis horas para pagar y cada pocas horas el monto de extorsión aumenta”, dijo Kurt Baumgartner, el principal investigador de seguridad de Kaspersky Lab. “La mayoría de las personas que han pagado parecen haber pagado los 300 iniciales en las primeras horas”.

Dieciséis organizaciones del Servicio Nacional de Salud (NHS) en el Reino Unido han sido afectadas, y algunos de esos hospitales han cancelado las citas con pacientes ambulatorios y les dijeron a la gente que evitara departamentos de emergencia si es posible.

Las autoridades españolas confirmaron que el ransomware se está propagando a través de la vulnerabilidad de EternalBlue y han aconsejado a las personas que aplicar el patch.

“Se va a extender a lo largo y ancho dentro de los sistemas internos de las organizaciones; esto se está convirtiendo en el mayor incidente de ciberseguridad que he visto”, dijo el arquitecto de seguridad británico Kevin Beaumont.

Kaspersky Lab dice que aunque el ransomware de WannaCry puede infectar las computadoras incluso sin la vulnerabilidad, EternalBlue es “el factor más significativo” en el brote global.

Como prevenirlo

Beaumont examinó una muestra del ransomware usado para afectar al NHS y confirmó que era el mismo utilizado contra Telefónica. Dijo que las compañías pueden aplicar el patch lanzado en marzo a todos los sistemas para prevenir infecciones de WannaCry. Aunque no servirá en nada para las máquinas que ya han sido afectadas.

El experto dijo que es probable que el ransomware se extenderá a las empresas de EUA. también. El ransomware escanea automáticamente los equipos que puede infectar cada vez que se carga en una nueva máquina. Puede infectar otros equipos en la misma red inalámbrica.

“Tiene un módulo ‘hunter’, que busca computadoras en redes internas”, dijo Beaumont. “Así que, por ejemplo, si su computadora portátil está infectada y usted fue a una cafetería, se extendería a las computadoras en la cafetería, de ahí a otras compañías”.

Según Matthew Hickey, fundador de la empresa de seguridad Hacker House, el ataque del viernes no es sorprendente, y muestra que muchas organizaciones no aplican actualizaciones de manera oportuna. Cuando CNNTech informó por primera vez  que las vulnerabilidades de Microsoft se filtraron en abril, Hickey dijo que eran las “más perjudiciales” que había visto en varios años, y advirtió que las empresas estarían en mayor riesgo.

Los consumidores que cuentan con software actualizado están protegidos de este ransomware.

No es la primera vez que los hackers han utilizado las herramientas filtradas de la NSA para infectar computadoras. Poco después de la filtración, los hackers infectaron miles de máquinas vulnerables con una puerta trasera llamada DOUBLEPULSAR.

 

                                                                                               
Cuando el virus infecta el ordenador, esta imagen aparece en el fondo de escritorio.
Jaime Blasco, director de los laboratorios de Alienvault en San Francisco, aporta algo de luz. El ataque ya está parado tras la difusión de un parche de Windows por parte de Microsoft. El experto reitera un consejo, aplicar todos los parques de seguridad que Microsoft ha publicado.
“Uno de los vectores de infección parece ser un exploit que consigue la ejecución de código remota en sistemas Windows. Este exploit (llamado EternalBlue) se hizo público como parte de uno de las filtraciones de Shadowbrokers.
Se recomienda aplicar todas las actualizaciones publicadas por Microsoft para parchear esta vulnerabilidad”, reitera. Es, por tanto, uno de los archivos liberados en la última denuncia de Wikileaks.

Microsoft, preocupada por la difusión de este agujero, todavía no ha dado una respuesta oficial, pero sí contemplan que la industria se replantee los criterios y formas en que se actualizan los programas para que la protección frente a vulnerabilidades no dependa tanto de voluntad humana, como de automatismos.

Uno de los afectados en Londres ha explicado en un hilo de los foros de Reddit, la situación: “Citas, tratamientos, resultados… Los responsables han ido por a miles de personas vulnerables y deben ser tratados como terroristas”.

ATAQUE EN PORTUGAL

Se ha registrado un ataque informático en Portugal que se ha centrado en empresas de comunicación y en la banca, y según fuentes de la investigación, incluye a PT, Caixa Geral de Depósitos y BPI, aunque las entidades no lo han admitido, informa Javier Martín desde Lisboa.

Pese a que el ataque es muy amplio, tan solo Portugal Telecom ha admitido sufrirlo: “Todos los equipos técnicos están asumiendo las diligencias necesarias para resolver la situación, habiéndose activado todos los planes de seguridad. La red de los servicios de comunicación fija, móvil, internet y televisión no fueron afectados”, dice la operadora.

Los atacantes piden rescate para el desbloqueo de los ordenadores bloqueados, y lo quieren en moneda virtual, bitcoin, que en esto días precisamente ha llegado a su cotización récord, 1.800 dólares, y cuyas transacciones no dejan rastro.

El mensaje en portugués advierte que la cifra de rescate (300 dólares) se duplicará a los tres días y que si antes de siete días no pagan, los ficheros quedarán destruidos. Según la empresa de seguridad S21Sec, el ataque afecta a ordenadores con versiones de Windows y programas muy populares, como Word y Excel, también de Microsoft, y los expertos recomiendan utilizar “de manera inmediata” el parche de seguridad MS17-010.

“Este tipo de ataques afecta a todo el mundo, pero hemos visto cómo los delincuentes tratan de ir a por empresas, ya que poseen información valiosa por la que están dispuestos a pagar un rescate”, indica el estudio de Panda. Algunos expertos en ciberseguridad, como Jakub Kroustek, afirman en las redes sociales que han rastreado hasta 50.000 ataques de WannaCry. Este mismo experto asegura en el blog de su compañía, Avast, que observaron la primera versión de este virus en febrero y que han encontrado el mensaje de rescate escrito en 28 idiomas.

Según Eusebio Nieva, director técnico de Check-Point en España y Portugal, el ransomware es la estrategia más utilizada para atacar a las grandes empresas. “Los hackers piden que el rescate se realice a través de un pago digital que no se pueda rastrear”, dice Nieva.

El experto explica que ese software maligno puede llegar a un sistema de manera simple, desde un correo electrónico con una factura falsa, por ejemplo, hasta una técnica conocida como watering hole, que en el caso de las grandes compañías, infecta una página (generalmente de la red intranet) a la que los trabajadores o usuarios acceden con frecuencia.  “Esa es la forma más rápida para una distribución masiva”, afirma.

El experto señala, sin embargo, que el pago de un rescate no es garantía de que se pueda recuperar la información cifrada por el virus: “La posibilidad es de entre 30% y 40%”. Pero, ¿cómo es posible protegerse de esos ataques? El experto sostiene que, en la era en que los malware han dejado de ser obra de atacantes individuales para convertirse en una red industrializada que genera dinero, los tradicionales programas de antivirus ya no son suficientes.

Los más punteros de protección, según Nieva, son los programas de anti-APP o sandboxing, que rastrean el comportamiento del sistema o de la red de información, identifican cualquier software malicioso y lo eliminan.

“El sandboxing es el que mejor funciona. Cuando llega un documento por correo, por ejemplo, el sistema lo abre en un entorno virtual y si detecta algo sospechoso, lo elimina antes de que llegue al usuario”, explica el experto. El problema, según el experto, es que se trata de un modelo reciente y muchas empresas los utilizan simplemente como un sistema de detección en vez de protección.

El Gobierno de España ha emitido un comunicado en el que orienta a los posibles afectados a aplicar los últimos parches los últimos parches de seguridad publicados en los boletines de mayo.