Dominio de 10 dólares frenó el ciberataque en EUA

Una solución rudimentaria de dos expertos de Reino Unido fue la solución para que el virus no se propagase en Estados Unidos y otros países.

Decidir comprar el dominio gwea.com. en NameCheap.com por 10.69 dólares permitió que el ciberataque considerado de dimensión nunca antes vista no lograra bloquear el acceso a los sistemas informáticos de instituciones estatales y empresas de varios países.

Los héroes capaces de frenar el macroataque cibernético producido ayer a escala global, son Darien Huss y un colego suyo, que tuitea desde la dirección @malwaretechblog, quienes ahora son considerados autores del que puede ser el mayor rescate digital de la historia., según el diario español El País.

“Vi que no estaba registrado y pensé, ‘quizá debiera hacerme con él”, escribió Huss, investigador de Proofpoint, en su cuenta de Twitter al ver que la solución, un tanto inusual y que evidencia un fallo de los propios atacantes, funcionaba.

Ambos estudiaron cómo era el procedimiento de WannaCry, que es como se ha nombrado al software malicioso que atacó a grandes empresas el viernes, entre ellas Telefónica, Fedex o el servicio de salud de Reino Unido (NHS).

Vieron que al proceder a atacar un nuevo objetivo, WannaCry (en español «quiero llorar») contactaba con un nombre de dominio (una dirección de Internet), que consistía en una gran cantidad de caracteres cuyo final siempre era “gwea.com”.

Dedujeron que si WannaCry no podía tener acceso a esa dirección comenzaría a funcionar de manera errante por la Red, buscando nuevos sitios que atacar, hasta terminar por desactivarse, como sucedió.

Así que, siguiendo esta lógica, se compró el dominio gwea.com. Lo adquirió en NameCheap.com por 10.69 dólares e hizo que apuntase a un servidor en Los Ángeles que tenía bajo su control para poder obtener información de los atacantes.

Tan pronto como el dominio estuvo en activo pudo sentirse la potencia del ataque, más de 5,000 conexiones por segundo. Hasta que finalmente terminó por apagarse a sí mismo, como un bucle.

Según ellos mismos han explicado a Daily Beast, es muy probable que el autor del código malicioso fuese consciente del fallo y lo mantuviera como un interruptor de emergencia para desactivarlo.

Ransomware, considerada una amenaza muy poderosa.

Joseph Popp, un investigador de SIDA en Reino Unido, ostenta un dudoso honor, fue el difusor del primer ciber rapto. Fue en 1989, cuando Internet no era más que una red académica. Su distribución se hizo a través de diskettes, más de 20.000 infectados en 90 países. El pago que se pedía entonces oscilaba entre los 189 y los 378 dólares.

Desde entonces no han dejado de multiplicarse y de sofisticarse, tanto en la difusión como en la forma de recaudar el rescate.

A partir de 2000 se ha convertido en un modelo de negocio para los profesionales del cibercrímen. Entre abril de 2014 y marzo de 2015 CrytoWall fue el protagonista intermitente de las pesadillas de los responsables de seguridad de empresas. El precio de la liberación ha pasado de una media de 300 dólares a mediados de la década a pasada a los 500 que se suelen pedir ahora. Una cifra que se suele multiplicar si se deja pasar la fecha límite impuesta por los atacantes. El bitcoin, la criptomoneda más extendida, es, de facto, el modo de pago más aceptado en este mundo gris.

Solo en 2016 el sistema de hospitales de Los Angeles pagó por su liberación. En Ottawa infectaron más 9.800 máquinas de un hospital. El sistema público de transporte de San Francisco sufrió un ataque el 25 de noviembre del año pasado, como liberación se pidió 100 bitcoins, una cifra que entonces alcanzó los 73.000 dólares.

“Si no lo hubiésemos parado, hay casi un 100% de posibilidades de que hubiera seguido republicándose una y otra vez”, apunta, “mientras que la gente no ponga los parches eso va a seguir sucediendo”.

Ryan Kalember, de la empresa de seguridad Proofpoint, considera que el ingenio de esta pareja merece reconocimiento: “Merecen el premio al héroe accidental. Quizá no son conscientes de lo mucho que han ayudado a frenar que este ransomware (como se llama en el argot a los programas que exigen un rescate) se difundiera en todo el mundo”.

En el momento en que registraron el dominio que puso freno al avance del ataque, miles de ordenadores en Asia y Europa ya estaban infectados, pero apenas había avanzado en Estados Unidos, donde hubo tiempo para poner el parche e inmunizarse. La solución, que no ayuda a los que ya tienen sus máquinas infectadas, es posible que no sea definitiva. No hay una garantía sobre algunas variantes de este software malicioso que podría tener otros interruptores para darlos de baja.

Shadow Brokers, el grupo que dice haber robado las herramientas de ciberespionaje de la Agencia Nacional de Seguridad (NSA) y que compartió con Wikileaks a modo de denuncia, liberó este programa el 14 de abril. Una vez que se adentra en un PC, este encripta todos los datos de los ordenadores en los que se infiltra y pide un pago a cambio de desbloquear los archivos. En este caso la cantidad demandada por máquina fue de 300 dólares. Según los cálculos de Kaspersky Labs se registraron 45.000 ataques en 74 países.

Un ciberataque de dimensión nunca antes vista

Y aunque alrededor de 100 países han reportado problemas,  se cree que Rusia ha sido una de las naciones más afectadas.

Autoridades en Reino Unido declararon que tenían un «incidente importante» después de que varios hospitales del Servicio nacional de Salud (NHS, por sus siglas en inglés) en Inglaterra y Escocia se vieron afectados.

El personal no pudo acceder a los datos de los pacientes, pero hasta ahora no hay evidencia de que su información personal se haya visto comprometida, según el NHS.

Ello llevó a la cancelación de cotas con pacientes y la suspensión de actividades como intervenciones quirúrgicas.

Por otra parte, entre   las empresas españolas afectadas está el gigante de las telecomunicaciones  Telefónica , que confirmó que estaba lidiando con un «incidente de seguridad cibernética», pero aseguró que sus clientes no se veían afectados.

Las compañías energéticas Iberdrola y Gas Natural también registraron problemas en sus sistemas.

Otra empresa que confirmó que había sido atacada fue la empresa de mensajería estadounidense FedEx, aunque no aclaró en qué lugares hizo efecto el ransomware.

«Al igual que muchas otras compañías, FedEx está experimentando interferencia con algunos de nuestros sistemas basados ??en Windows», dijo la empresa en un comunicado.

En Italia, las computadoras de un laboratorio universitario quedaron bloqueadas por el mismo programa, como mostró un usuario en Twitter.

El ciberataque ha llegado a considerarse «de dimensión nunca antes vista» pues logró este viernes bloquear el acceso a los sistemas informáticos de instituciones estatales y empresas de varios países.

La policía europea, Europol, indicó que el ciberataque era de una escala «sin precedentes» y advirtió que una «compleja investigación internacional» era necesaria para «identificar a los culpables».

La campaña masiva de ransomware, un ataque en el que los perpetradores piden dinero a cambio de liberar el acceso a los sistemas, también afectó a instituciones de Reino Unido, Estados Unidos, China, España, Italia, Vietnam y Taiwán, entre otros.

El fabricante de vehículos Renault señaló que detuvo la producción en sus fábricas francesas como consecuencia del ataque.

Se informó que las herramientas usadas en el ataque pudieron haber sido desarrolladas por la Agencia de Seguridad Nacional de Estados Unidos (NSA, por sus siglas en inglés).

Hackers se atribuyeron el mes pasado el robo del software, conocido como Eternal Blue, y su distribución por internet.

«Este es un ataque cibernético importante, que impacta organizaciones de toda Europa a una dimensión nunca antes vista», dijo el experto en seguridad Kevin Beaumont.

«Hemos visto más de 75.000 casos… en 99 países», escribió Jakub Korustek en un blog de la firma de seguridad informática Avast publicado alrededor de las 20:00 GMT ayer.

Horas antes, Costin Raiu, de la tecnológica rusa Kaspersky, había hablado de 45.000 ataques en 74 países.

Raiu describió el virus como un «gusano» que se estaba autorreplicando y esparciendo a gran velocidad.

Por su parte, Forcepoint Security señaló que el gusano estaba siendo esparcido por una campaña de correos electrónicos malicioso de hasta 5 millones de emails.