El ransomware del ataque a Telefónica se propaga:Wanna Decrypt0r deja KO varios hospi

El ciberataque que parecía favor afectado solo a Telefónica es en verdad un ciberataque a nivel mundial que se aprovecha de WanaCrypt0r, el ransomware que es una nueva interpretación del conocido WCry/WannaCrt y que está secuestrando equipos de intranets empresariales a un ritmo asombroso.

Los datos que se están publicando en medios y redes sociales permiten confirmar que este ciberataque está propagándose por varios países de todo el mundo, y que está mucho más presente en Rusia o en Taiwán. España, Alemania, Japón o Turquía están todavía en esa letanía de grandes afectados, y el ataque no respeta a nadie: lo demuestra su presencia incluso en hospitales, como ha ocurrido en el Reino Unido o en Italia.

Difícil conocer el capacidad del ataque

Aún es pronto para poder conocer cuántas empresas y organismos han sufrido este ciberataque, pero varios expertos en seguridad aseguran que lo que está sucediendo en España se queda en poca cosa si lo comparamos con los casos que ya se han detectado en países como Rusia o Taiwán.

Por el momento hemos podido conocer pocas empresas afectadas insólito de la confirmación de Telefónica. En España las reacciones de otras empresas han sido variadas y han ido de la precaución al pánico, mientras que fuera de nuestras fronteras ya hay un caso especialmente resultón: el de la seguridad social británica.

Uno de los hospitales del sistema retrete anglosajón ha tenido que detener prácticamente todos sus servicios conveniente a un ataque de ransomware. La imagen de una de las empleadas del hospital muestra cómo se negociación del mismo malware que ha afectado a Telefónica, pero las reacciones de personas como un doctor del hospital afectado todavía mostraba su frustración, mientras que la BBC alerta de que ya son varios los hospitales afectados por el problema:

El ataque parece estar produciéndose todavía en una universidad italiana. Uno de sus alumnos publicaba la próximo foto hace unas horas:

WNCRY, la extensión maldita

Como confirmaban los expertos, todo apunta a que el vector de ataque ha podido ser algún tipo de spam con adjunto que alguno de los usuarios de la intranet empresarial haya descubierto. A partir de ahí el exploit habría utilizado la vulnerabilidad no parcheada para instalar el ransomware y para propagarse por la red sin piedad. Aún así no se sabe con exactitud cuál ha sido la verdadera vía que ha detonado esa infección masiva de equipos.

Wncry

Como indicábamos anteriormente, este ransomware sigla todos los ficheros con extensiones “populares”, les añade una extensión .WNCRY y encima crea un fichero de texto en el disco duro de la víctima llamado @PleaseReadMe@.txt que es el que indica cómo librarse del problema: pagando una cantidad de mosca en bitcoin, poco que permite abastecer el anonimato del atacante, que supuestamente envía la esencia para descifrar los datos secuestrados una vez recibido el suscripción.

Hay herramientas que permiten detectar el ransomware ayer de que entre en entusiasmo. Yago Jesús, un conocido hábil en ciberseguridad gachupin, comprobaba tras la propagación de este ciberataque como la aplicación Anti Ramson v3 es capaz de detectar y sitiar la infección… si la ejecutas ayer de que entre en entusiasmo, claro.

No era un ataque específico a Telefónica

EL ciberataque sufrido por Telefónica desde hace horas no parece por consiguiente el centro de este suceso, y todo apunta a que los responsables del mismo han activado el ransomware al mismo tiempo en todas las máquinas infectadas en distintas empresas.

Smittix El módulo EternalBlue en funcionamiento para servirse la vulnerabilidad de Microsoft que aparentemente hace que el ransomware (o cualquier otro ejecutable que queramos) pueda entrar en entusiasmo

En Xataka hemos contactado con Omar Benbouazza, hábil en seguridad que entre otras cosas es reformador de las conferencias RootedCON, y como él mismo explicaba el ataque estaba dirigido a los empleados de Telefónica, pero en verdad “es un ataque de ransomware a nivel mundial“.

Como indicaban otras fuentes, el malware utilizado es Wanna Decrypt0r 2.0, que como Benbouazza confirmaba “es una actualización de un ransomware que estuvo afectando también a nivel mundial durante el mes de abril”. Este hábil nos remitía al artículo de otro consultor en seguridad llamado James “Smittix” Smith que realizaba una prueba de concepto para explotar la vulnerabilidad MS17-010 usando EternalBlue, una de las herramientas utilizadas por la NSA.

En Xataka | Wanna Decryptor: así funciona el ransomware que se ha usado en el ciberataque a Telefónica


Source link

deja tu opinion

Seguinos

Tecnoblog en las redes sociales