Desde el viernes pasado, un ataque masivo de ransomware comenzó abatir miles de empresas alrededor del mundo. Empresas de renombre como Telefónica en España, Renault, Universidades Chinas, el Ministerio de Interior en Rusia, entidades bancarias y Pymes, todas afectadas a través de un exploit ya corregido por Microsoft. En total, se contabilizan unas unas 200.000 víctimas en al menos 150 países.
Actualmente, el ataque principal ha sido reducido gracias a que un investigador logró activar un killswitch, una URL que, en caso de estar registrado el dominio, haría que el proceso de encriptación de WannaCry no fuera iniciado. En otras palabras, aún cuando el malware sea diseminado el ransomware no encripta los archivos porque este killswitch fue activado. Sin embargo, en corporaciones que funcionen con proxys esto no es así.
Según se ha logrado comprobar (verificado por Malwarebyte), el código dentro de WannaCry que comprueba si el dominio que sirve como killswitch esta registrado no funciona si la conexión a Internet se realiza a través de un proxy. Tan pronto WannaCry logre instalarse y detecte una conexión proxy, no comprobará la existencia del killswitch, activando su mecanismo de encriptación.
Aparte de esto, muchos investigadores en seguridad y organizaciones están preocupados por un repunte en el número de infectados que podría ocurrir el Lunes. También se especula que, si bien esta variante de WannaCry (que recordar es la versión 2.0) incluía un killswitch, nada quita que los hackers puedan lanzar una tercera versión que no lo implemente.
Rob Wainwright, director de la Europol ha comentado que “por el momento, nos enfrentamos a una amenaza creciente: los números están incrementando, y estoy preocupado por cómo las cifras seguirán creciendo cuando la gente vaya al trabajo y encienda sus equipos el lunes por la mañana”. “El alcance mundial es sin precedentes“, señaló Wainwright al anunciar las cifras. “Esas víctimas, muchas de ellas… son negocios, incluyendo grandes corporaciones“, agregó.
¿Qué hacer ante la infección y cómo prevenirla?
En principio, los ataques están dirigidos a organizaciones y grandes empresas, pero esto no significa que los individuales no debamos tomar precauciones extra. Un punto de partida para quienes estén afectados ante este ciberataque es contactar inmediatamente con las autoridades.
Aquí en TekCrispy hemos destacado el papel que juega NoMoreRansom como organización para dar asistencia en denuncias y en muchos casos, para suministrar las herramientas para desencriptar en casos de ransomware. De momento, no hay una herramienta diseñada para desencriptar Wanna Cry 2.0, pero conectarse con las autoridades es sin duda un paso necesario, como en cualquier crimen. La iniciativa NoMoreRansom esta soportada por Kaspersky, ESET, TrendMicro, Bitdefender, Intel, Amazon, Europol, y otra docena de organizaciones públicas y del sector privado.
Como parte de las medidas preventivas, lo que siempre se recomienda al usuario es mantener la sospecha sobre cada correo que llegue a nuestra bandeja de entrada y tener mucha pericia al abrir documentos adjuntos. Incluso si se trata de correos provenientes de personas conocidas, hay que dudar cuando se vea un archivo adjunto. Utilizar el sentido común y analizar el contexto, antes que dejárselo todo al software antivirus, que hoy por hoy es una herramienta que fácilmente puede ser burlada.
Otra medida para combatir con facilidad los ataques de ransomware es mantener actualizados nuestros sistemas, sin importar si sean Windows o macOS. Parece inaudito que este ataque a gran escala de Wanna Cry se haya realizado aprovechando un exploit del que Microsoft ya lanzó un parche hace unos meses. Aunque hay que resaltar, que Windows XP y Windows 8 no estaban inicialmente incluidos en este parche; recordemos que muchos sistemas operativos de Microsoft Windows ya han sido descontinuados. Aún así, aquí están los parches para todas las versiones vulnerables y descontinuadas:
Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64
Y aunque parezca repetitivo, los usuarios deben abstenerse de instalar aplicaciones crackeadas o usar los keygenerators o patchers. La piratería sigue siendo una de las principales vías de diseminación de ransomware y otros tipos de malware.
Por último, nunca esta de más recordar que el usuario debe tener un antivirus siempre activo en su ordenador (si, aunque pueda ser burlado), acompañado de un software anti-malware como Malwarebytes. Algunos han desarrollado herramientas específicas para detectar ransomware, que pueden representar una línea extra de defensa en ordenadores susceptibles a este tipo de ataque, como aquellos usados en grandes corporaciones.