Wanna cry el ransomware mas importante de la última década

La encriptación es una forma de proteger nuestros datos con el fin de que nuestra información evite ser filtrada hacia terceros, sin embargo ¿qué pasa cuando nuestros archivos son encriptados sin nuestro consentimiento?; Wanna cry un ransomware que atacó a miles de usuarios alrededor del globo.

El 12 de mayo de 2017 entre las 8 y las 17:08 horas UTC3​ se registró un ataque a escala mundial que afectó a las empresas Telefónica​, Iberdrola y Gas Natural, entre otras compañías en España,​ así como al servicio de salud británico, como confirmó el Centro Nacional de Inteligencia de España, el ransomware utilizaba una vulnerabilidad en el sistema de Windows SMB (Server Message Block) un protocolo enfocado en compartir archivos entre nodos de una red con sistemas operativos Windows, dicha vulnerabilidad pertenece a el código MS17-010, con opciones de ejecución remota.

Es fundamental hacer percibir que esta Vulnerabilidad, solamente puede usar un Exploit para obtener ingreso remoto con privilegios del Sistema, lo cual supone que el agresor puede obtener ingreso con privilegios altos en el Sistema, esto hace que el Ransomware tenga control total de un Sistema en una red y puede extenderse por medio de la misma a todos los Sistemas Windows vulnerables que no se encuentren actualizados con el parche “MS17-010: Actualización de seguridad para Windows Server de SMB” el cual corrige el poder permitir la ejecución remota de código si un atacante envía mensajes especialmente diseñados a un servidor de Microsoft Server Message Block 1.0 (SMBv1). La medida del documento ransomware es de 3,4 MB (3514368 bytes).

Como funciona wanna cry

Wanna cry surgió a través del resultado de una vulnerabilidad denominada eternal blue desarrollada por la agencia de seguridad de los estados unidos, la cual fue filtrada por un grupo de hackers llamado “The Shadow Brokers”, dicha vulnerabilidad permitía atacar sistemas operativos con Windows que no estuvieran correctamente actualizados, esto provoco que Windows lanzara una actualización de seguridad que parchaba este problema, sin embargo muchas personas no suelen mantener sus sistemas en constante actualización provocando que sean objetivos de ataque.

El funcionamiento de wanna cry está basado desde la línea de comandos, eliminando las copias y respaldos de seguridad instantáneos en los Volúmenes de los Discos Duros.

El Ransomware se escribe en una carpeta de caracteres aleatorios en la carpeta ‘ProgramData con el nombre de archivo de “tasksche.exe’ o en la carpeta C: \Windows\ con el nombre de archivo ‘mssecsvc.exe’ y ‘tasksche.exe’. El Ransomware otorga acceso total a todos los archivos usando el comando: Icacls. /Grant Todos:F /T /C /Q

¿Cómo se propaga WannaCry?

Se comporta como un gusano, lo cual supone que se propaga por medio de las redes. Cuando se instala en un equipo WannaCry es capaz de examinar una red para descubrir más dispositivos vulnerables. Se cuela usando el código EternalBlue y, después, usa un instrumento de puerta trasera llamada DoublePulsar para instalarse y ejecutarse.

De esta forma es capaz de autopropagarse sin relación humana y sin necesidad de archivos o programas anfitriones, lo cual lo convierte en un gusano, más que en un virus.

¿Cómo Protegerse?

Como o indica Microsoft la forma más segura de evitar el riesgo de ser atacado es actualizar tu sistema operativo con el parche mencionado anteriormente. Algunas recomendaciones ofrecidas por Microsoft son:

• Mantener actualizado el sistema operativo y otro software. Las actualizaciones de software incluirán con frecuencia parches para vulnerabilidades de seguridad recientemente descubiertas que podrían ser explotadas por atacantes del Ransomware.
• Tener cuidado con los correos electrónicos inesperados o no solicitados, especialmente si contienen enlaces y/o archivos adjuntos. El correo electrónico es uno de los principales métodos de infección de Ransomware.
• Realizar copias de seguridad de datos importantes es la forma más eficaz de combatir la infección por ransomware.

Es de suma importancia mantenerse informado sobre futuras vulnerabilidades y mantener una navegación segura.