Un ataque internacional usa la técnica del secuestro de ordenadores para pedir un rescate a cambio de liberar los equipos informáticos y la información que almacenan.

El ataque informático que han sufrido las oficinas de Telefónica este viernes tiene nombre: ransomware. Es un tipo de malware que se caracteriza por el secuestro del ordenador, donde el atacante bloquea todos los archivos del disco duro y pide un rescate por ellos. Normalmente, el rescate se paga en bitcoins, la criptodivisa irrastreable con la que se suelen hacer negocios en la Deep Web.

El ransomware que ha atacado Telefónica se llama WannaCry 2.0. Utiliza la aplicación Wanna Decryptor, que es una variante mejorada de este ataque cibernético. Esta versión es más resistente que la inicial y además, ofrece una solución en caso de que un antivirus consiga detectar y desactivar el núcleo del ransomware. Para propagarse por la red de equipos de Windows, hace uso de una vulnerabilidad de ejecución de comandos remota a través del protocolo SMB.

Cómo funciona este ataque

WannaCry 2.0 funciona cifrando los archivos con el estándar AES-128. Después los renombra añadiéndoles la extensión “.wcry”. Por ejemplo, una fotografía que se llame “X.jpg” pasaría a llamarse “X.jpg.wcry”. En la imagen de abajo, el ransomware que ha atacado Telefónica indica que el importe del pago subirá si no se hace antes de la fecha estipulada y amenaza con que los archivos bloqueados serán borrados el día 19 de este mes. Abajo del todo aparece la cadena, el blockchain donde deben ser pagados los 300 dólares por cada equipo, que equivalen a 0,1675 bitcoins.

El ransomware utiliza un cifrado de clave única. Durante el ataque desarrolla solo una “llave”, que es la misma que cifra y descifra los archivos del ordenador. Para saber cuál es esa llave, almacenada en la nube y que solo los desarrolladores del malware conocen, es necesario pagar el rescate. Aunque existen multitud de ransomwares similares, las diferencias entre uno y otro varían entre la interfaz y el precio que exigen por desbloquear los archivos.

Telefónica tiene bloqueada su red interna

En un primer análisis, el grupo de hackers “La Nueve”, vinculado al famoso “Anonymous”, explica a El diario que lo de Telefónica ha sido el típico ransomware vía e-mail, dirigido a las direcciones de correo de la compañía. Lo catalogan como “el típico phising que cualquier usuario (sea de la empresa y ámbito que sea) se come al pulsar en el enlace o bajarse un archivo sin testarlo”.

El ataque ha aprovechado un vulnerabilidad en Windows que la compañía parcheó en marzo. Pero a la vista está que no lo hizo del todo bien. “Que Telefónica no tenga instalados los filtros de e-mail adecuados para evitar que sus trabajadoras descarguen archivos infectados dice también mucho de esa compañía”, continúa La Nueve, que explica que otras empresas han sido atacadas porque “puede afectar a todas las direcciones a las que se haya enviado y donde se hayan abierto los ficheros infectados”.

El Centro Criptológico Nacional lo confirma con este comunicado

“Se ha alertado de un ataque masivo de ransomware a varias organizaciones que afecta a sistemas Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas que haya en esa misma red.

El ransomware, una versión de WannaCry, infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota a través de SMB, se distribuye al resto de máquinas Windows que haya en esa misma red.

Los sistemas afectados son: Microsoft Windows Vista SP2 Windows Server 2008 SP2 and R2 SP1 Windows 7 Windows 8.1 Windows RT 8.1 Windows Server 2012 and R2 Windows 10 Windows Server 2016

Microsoft publicó la vulnerabilidad el día 14 de marzo en su boletín y hace unos días se hizo pública una prueba de concepto que parece que ha sido el desencadenante de la campaña.

Se recomienda actualizar los sistemas a su última versión o parchear según informa el fabricante:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Para los sistemas sin soporte o parche, como Windows 7, se recomienda aislar de la red o apagar según sea el caso.”

Puedes ver el mapa con las áreas afectadas en todo el mundo aquí.