El ciberataque que parecía haber afectado solo a Telefónica es en realidad un ciberataque a nivel mundial que se aprovecha de WanaCrypt0r, el ransomware que es una nueva versión del conocido WCry/WannaCrt y que está secuestrando equipos de intranets empresariales a un ritmo asombroso.
Los datos que se están publicando en medios y redes sociales permiten verificar que este ciberataque está propagándose por varios países de todo el mundo, y que está mucho más presente en Rusia o en Taiwán. España, Alemania, Japón o Turquía están también en esa lista de grandes afectados, y el ataque no respeta a nadie: lo demuestra su presencia incluso en hospitales, como ha ocurrido en el Reino Unido o en Italia.
Difícil saber el alcance del ataque
Aún es pronto para poder conocer cuántas empresas y organismos han sufrido este ciberataque, pero varios expertos en seguridad aseguran que lo que está sucediendo en España se queda en poca cosa si lo comparamos con los casos que ya se han detectado en países como Rusia o Taiwán.
The most affected country until now: Russia.
— MalwareHunterTeam (@malwrhunterteam) 12 de mayo de 2017
Spain is just the third...
cc @BleepinComputer @demonslay335 @Seifreed @bartblaze @GossiTheDog pic.twitter.com/qHpHWmuNin
Por el momento hemos podido conocer pocas empresas afectadas aparte de la confirmación de Telefónica. En España las reacciones de otras empresas han sido variadas y han ido de la precaución al pánico, mientras que fuera de nuestras fronteras ya hay un caso especialmente llamativo: el de la seguridad social británica.
Why would you cyber attack a hospital and hold it for ransom? The state of the world 😂 pic.twitter.com/e6h6yNrBBB
— If.ra (@asystoly) 12 de mayo de 2017
#nhscyberattack pic.twitter.com/SovgQejl3X
— gigi.h (@fendifille) 12 de mayo de 2017
Uno de los hospitales del sistema sanitario británico ha tenido que detener prácticamente todos sus servicios debido a un ataque de ransomware. La imagen de una de las empleadas del hospital muestra cómo se trata del mismo malware que ha afectado a Telefónica, pero las reacciones de personas como un doctor del hospital afectado también mostraba su frustración, mientras que la BBC alerta de que ya son varios los hospitales afectados por el problema:
Massive NHS hack cyber attack today. Hospital in shut down. Thanks for delaying emergency patient care & endangering lives. Assholes.
— B (@brobertson2010) 12 de mayo de 2017
Trusts and hospitals in these areas affected by NHS IT failure:
— BBC Breaking News (@BBCBreaking) 12 de mayo de 2017
London
Nottingham
Cumbria
Hertfordshire https://t.co/M6Yf4lUVlC
El ataque parece estar produciéndose también en una universidad italiana. Uno de sus alumnos publicaba la siguiente foto hace unas horas:
A ransomware spreading in the lab at the university pic.twitter.com/8dROVXXkQv
— 12B (@dodicin) 12 de mayo de 2017
WNCRY, la extensión maldita
Como confirmaban los expertos, todo apunta a que el vector de ataque ha podido ser algún tipo de spam con adjunto que alguno de los usuarios de la intranet empresarial haya abierto. A partir de ahí el exploit habría aprovechado la vulnerabilidad no parcheada para instalar el ransomware y para propagarse por la red sin piedad. Aún así no se sabe con exactitud cuál ha sido la verdadera vía que ha detonado esa infección masiva de equipos.
Como indicábamos anteriormente, este ransomware cifra todos los ficheros con extensiones "populares", les añade una extensión .WNCRY y además crea un fichero de texto en el disco duro de la víctima llamado @PleaseReadMe@.txt que es el que indica cómo librarse del problema: pagando una cantidad de dinero en bitcoin, algo que permite mantener el anonimato del atacante, que supuestamente envía la clave para descifrar los datos secuestrados una vez recibido el pago.
Hay herramientas que permiten detectar el ransomware antes de que entre en acción. Yago Jesús, un conocido experto en ciberseguridad español, comprobaba tras la propagación de este ciberataque como la aplicación Anti Ramson v3 es capaz de detectar y bloquear la infección... si la ejecutas antes de que entre en acción, claro.
No era un ataque específico a Telefónica
EL ciberataque sufrido por Telefónica desde hace horas no parece por tanto el centro de este suceso, y todo apunta a que los responsables del mismo han activado el ransomware al mismo tiempo en todas las máquinas infectadas en distintas empresas.
En Xataka hemos contactado con Omar Benbouazza, experto en seguridad que entre otras cosas es organizador de las conferencias RootedCON, y como él mismo explicaba el ataque estaba dirigido a los empleados de Telefónica, pero en realidad "es un ataque de ransomware a nivel mundial".
Como indicaban otras fuentes, el malware utilizado es Wanna Decrypt0r 2.0, que como Benbouazza confirmaba "es una actualización de un ransomware que estuvo afectando también a nivel mundial durante el mes de abril". Este experto nos remitía al artículo de otro consultor en seguridad llamado James "Smittix" Smith que realizaba una prueba de concepto para explotar la vulnerabilidad MS17-010 usando EternalBlue, una de las herramientas utilizadas por la NSA.
En Xataka | Wanna Decryptor: así funciona el ransomware que se ha usado en el ciberataque a Telefónica