El jefe de la agencia policial de la Unión Europea dijo que el ataque cibernético afectó a unas 200.000 víctimas en al menos 150 países y que el número aumentará cuando la gente vuelva a trabajar el lunes (15/05).
"El alcance global no tiene precedentes (...) y muchas de las víctimas serán empresas, incluidas grandes corporaciones", dijo el director de Europol, Rob Wainwright, a ITV de Gran Bretaña.
En ascuas
Joseph Popp, un investigador de SIDA en Reino Unido, ostenta un dudoso honor: fue el difusor del 1er. ciber secuestro. Fue en 1989. Su distribución se hizo a través de diskettes: más de 20.000 infectados en 90 países. El pago que se pedía entonces oscilaba entre los US$ 189 y los US$ 378.
Desde entonces no han dejado de multiplicarse y de sofisticarse, tanto en la difusión como en la forma de recaudar el rescate.
A partir de 2000 se ha convertido en un modelo de negocio para los profesionales del cibercrimen.
La Europol confirmó que lo que sucedió el viernes 12/05 fue "un ataque a un nivel sin precedentes". En un comunicado oficial, la oficina europea de policía advirtió de que hará falta "una compleja investigación internacional para identificar a los culpables" y prevenir ataques similares.
El Centro Europeo de Cibercriminalidad (EC3) dijo estar trabajando activamente con los países afectados "para atenuar la amenaza y asistir a las víctimas".
Marcos Gómez, director de operaciones del españolísimo Instituto de Ciberseguridad Nacional (Incibe), que monitoriza en tiempo real la evolución del ataque, afirmó: "Se barajan 2 teorías ahora mismo. Que lo hicieran por dinero o que su objetivo fuera probar la efectividad de la herramienta. Si lo hicieron por dinero, claramente no está funcionando como esperaban, en parte porque se ha reaccionado rápido y se han encontrado formas de detener su propagación. Sobre lo segundo, es posible que su único objetivo fuera probar algún componente concreto del 'ransomware', como su capacidad de contagiar a otros equipos. Eso desde luego ha sido un éxito. De momento no se descarta ninguna hipótesis".
Tom Robinson, cofundador de Elliptic, una empresa dedicada a detectar actividades ilícitas relacionadas con el mercado de monedas bitcoin, indica que se han identificado ya 3 direcciones que ingresaron estas partidas para rescatar sus computadores. Sin embargo, el experto advierte de que los receptores no han retirado aún el dinero, por lo que “todavía no ha habido oportunidad de rastrearles”.
El diario británico The Guardian sostuvo algo similar. Pero en un foro de hacktivismo se leyó: "En The Guardian no tienen ni puta idea. La dirección de bitcoin, solo el primer día ya recibía transferencias por valor de 150k euros".
Tanto la planta de Nissan en Sunderland, la mayor fábrica de automóviles del Reino Unido; como las de su socio Renault en Francia, se sumaron al listado de las empresas afectadas por el ciberataque. Una portavoz de la compañía aseguró que se habían puesto en marcha medidas "para frenar la extensión del virus como un primer paso", aunque no dio más detalles sobre el alcance o el efecto real en la fabricación de los coches.
En Rusia, el ciberataque llegó a golpear a las entidades bancarias del país, así como a los sistemas informáticos de la compañía estatal de ferrocarriles (RZhD). "Hemos registrado el envío masivo a los bancos del software malicioso del tipo WannaCry", reconoció un portavoz de Banco de Rusia. "A pesar de todo, los recursos de las instituciones bancarias no se ha visto comprometidos".
RZhD, una de las mayores ferroviarias del mundo, confirmó el ataque: "En estos momentos se está localizado y se está procediendo a su eliminación y a la actualización de los sistemas de defensa", informó un portavoz.
Héroes
Un tipo llamado Darien Huss y un colega suyo, que tuitea desde la dirección @malwaretechblog, han resultado los eventuales héroes capaces de frenar el macroataque cibernético.
Ambos estudiaron cómo era el procedimiento de WannaCry, que es como se ha nombrado al software malicioso que atacó a grandes empresas. Vieron que al proceder a atacar un nuevo objetivo, WannaCry (en español "quiero llorar") contactaba con un nombre de dominio (una dirección de Internet), que consistía en una gran cantidad de caracteres cuyo final siempre era “gwea.com”.
Según él asegura al diario The Guardian, descubrieron que WannaCrypt incluía en una parte de su código una conexión a un dominio concreto: si se conectaba, el malware se "dormía"; si no, procedía a atacar: medida preventiva de desactivación del ataque.
Ellos dedujeron que si WannaCry no podía tener acceso a esa dirección comenzaría a funcionar de manera errante por la Red, buscando nuevos sitios que atacar, hasta terminar por desactivarse, tal como sucedió.
Ryan Kalember, de la firma de seguridad Proofpoint, confirmó haber ayudado al joven británico a dar con el antídoto provisional contra el virus de ransomware WannaCry.
El WinMain de este ejecutable primero se intentaba conectar al sitio web www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/ No descarga nada de allí, simplemente intenta conectarse. Si se conecta, deja de ejecutarse.
“Vi que (Gwea.com) no estaba registrado y pensé, ‘quizá debiera hacerme con él”, escribió Huss en su cuenta de Twitter.
@MalwareTechBlog decidió registrar Gwea.com/ Por US$ 10,69 consiguió hacerse con dicho nombre de dominio e hizo que apuntase a un servidor en Los Ángeles (California, USA) que tenía bajo su control para obtener información de los atacantes: inmediatamente después, comenzó a recibir a través de él numerosas peticiones de equipos infectados: más de 5.000 conexiones por segundo. Las redirigió a un servidor sinkhole, a través del cual estaba detectando datos del ataque y enviándolos, según él asegura, al FBI.
Según ellos han explicado a Daily Beast, es muy probable que el autor del código malicioso fuese consciente del fallo y lo mantuviera como un interruptor de emergencia para desactivarlo.
“Si no lo hubiésemos parado, hay casi un 100% de posibilidades de que hubiera seguido republicándose una y otra vez”, apunta, “mientras que la gente no ponga los parches eso va a seguir sucediendo”.
Aunque los equipos infectados con anterioridad siguen estándolo, la velocidad de contagio del ciberataque ha descendido notablemente desde entonces.
Los equipos infectados siguen infectados y, además, si alguien decidiera modificar el malware y volver a distribuirlo con otro dominio o directamente sin esa línea de código, podríamos volver a encontrarnos con una epidemia mundial, según advierten @MalwareTechBlog y otros expertos.
¿Lo mejor? Parchar los sistemas lo antes posible.
“Esto no se ha terminado aún. Los 'hackers' se darán cuenta de cómo lo hemos parado, cambiarán el código y volverán a empezar”, aclara. "Actualizar Windows, actualizar y después reiniciar”, aconseja este ‘héroe’ autodidacta.
Un amigo de hackers explicó:
"Mucho me temo que este ciberataque se encuadra en lo que podríamos definir como entrenamientos. Para conseguir "secuestrar" infomacion digital simultáneamente en casi un centenar de paises se necesita una organización que aglutine a muchos individuos que actuen organizadamente, sigilosamente, soncronizadamente. En mi opinión, esto no es el resultado de la actución de unos pirados "pasados de vuletas" Esto tiene toda la pinta de ser un ataque militar. Al final aparecerá un "paganini" que poco o nada tendra que ver con la cuestión. Este tipo de operaciones siempre acaban en una Bandera Oficial de algún estado soberano, y este abanderamiento acostumbra a ser urdido por otro que no es el acusado. Quien haya hecho esto, habra tenido la mínima inteligencia de atacar a empresas de su propio Estado.para crearse una coartada."
Antecedentes para la cyberguerra
¿Estamos preparados para una ciberguerra en América latina? No.
"Nadie está preparado. Una ciberguerra afecta a gobiernos, empresas, infraestructuras. Si eres una empresa o un Gobierno y te vanaglorias de tu alta seguridad garantizarás que vas a ser hackeado. Nada como retar a un hacker para que busque y encuentre una fisura en tu seguridad. Los sistemas tecnológicos son muy complejos. El teléfono tiene muchísimas vulnerabilidades, e Internet otro tanto de lo mismo, son sistemas y tecnologías con muchas piezas a encajar entre sí para que funcionen. Como dice Gene Spafford, el 'dios' de los hackers, El único sistema seguro es aquél que está apagado en el interior de un bloque de hormigón, protegido dentro una habitación sellada, y rodeado por guardias armados. Aún así, tengo mis dudas", de Enrique Dans, profesor de Innovación del IE University.
El hacker ético y experto en seguridad, Deepak Daswani, considera que no hay que hablar de lo que pasará en una futura ciberguerra, porque ya estamos en ese escenario.
"La ciberguerra se lleva librando desde hace tiempo, y nunca podremos estar seguros al 100% porque lo que hoy es seguro, mañana puede no serlo. Se trata de seguir trabajando, investigando, conociendo las amenazas, las vulnerabilidades, y estar preparado para lo que pueda surgir. En el mundo de la seguridad ya no se intenta evitar que los ataques se produzcan; se asume que vamos a ser vulnerados en algún momento. Lo que se trabaja es en la respuesta a incidentes, para que cuando pase algo como esto podamos recuperarnos lo antes posible, contener el incidente, garantizar que se filtra la menor cantidad de información posible y que podamos recuperar la operatividad con celeridad", concluye.
"La seguridad al 100% no existe. Las grandes empresas han invertido mucho dinero en ciberseguridad y cada día están mejor preparadas, no así las pymes, que requieren de concienciación e inversión a partes iguales. Nuestros cuerpos y fuerzas de seguridad, probablemente de los mejores del mundo, sin duda precisan más recursos y por último los ciudadanos debemos hacer un esfuerzo, sobre todo, por concienciar a nuestros jóvenes para evitar esa promiscuidad que existe en Internet, y que provoca actos irresponsables. Esto también es aplicable a los adultos", apunta Inmaculada Parras, directora de Marketing y Comunicación de la firma de soluciones tecnológicas Mnemo.
Si bien el supuesto culpable del revuelo es Wanna Decryptor, el ransomware al que se le ha atribuido la infección de los equipos por ahora, no fue el 1er. caso grave de ransomware desde el AIDS Trojan, creado por el ingeniero Joseph L. Popp, aquel que lo distribuyó a través de 20.000 disquetes infectados (una barbaridad para la época) a los comparecientes en las conferencias de la Organización Mundial de la Salud sobre el SIDA
Veamos:
Ransomware: qué es, cómo infecta y cómo protegerse
Virus.DOS.AIDS
En 2006 hubo una especie de "resurgir" del ransomware con Archievus, que introdujo como novedad el cifrado asimétrico y cifraba sólo la carpeta Mis Documentos, pidiendo como rescate compras en ciertos sitios web. Sin embargo, no sería hasta 2012 que no llegaría Reveton, la primera gran amenaza, que se hacía pasar por un aviso de los cuerpos de seguridad de cada país. Por eso se le llamó el "Virus de la Policía". En 2014 Avast informó que Reveton había evolucionado, y también robando las contraseñas de los usuarios.
Dropping Reveton
En septiembre de 2013 apareció CryptoLocker, el primer malware que se extendió a través de descargas desde webs comprometidas, o se enviaba como un archivo adjunto en un correo electrónico de suspuestas quejas de clientes. Lo expandió la infraestructura de la botnet GameOver Zeus, usada por el ruso Evgeniy Bogachev para su esquema de ciberdelincuencia. Cryptolocker pedía un rescate de US$ 300 o 300 euros, amenazando al usuario con borrar sus datos si no pagaba la cantidad demandada.
CryptoLocker
En abril de 2014 nació CryptoWall, que adoptó varias formas a lo largo de su período de mayor actividad. Hacia mediados de 2015, el ransomware había recaudado US$ 18 millones en rescates. Infectaba un equipo, cifraba ciertas extensiones usando una clave RSA de 20148 bits. Una vez había cifrado los archivos que le interesaban, pedía al usuario el pago de US$ 500 o 500 euros en el plazo de 48 horas, amenazando con multiplizar por 2 la cantidad si no se atendían sus demandas.
Cryptowall
En 2015 apareció TeslaCrypt, que tuvo 4 versiones, y usaba una clave AES-256 para cifrar determinadas extensiones de archivos, que después se volvían a cifrar usando una clave RSA-4096. Contenía funciones que permitían la persistencia del malware en la máquina de la víctima. Finalmente, los autores del ransomware entregaron su clave de descifrado maestra a la empresa antivirus ESET.
TeslaCrypt 3.0
Locky devino en rey del ransomware en julio 2016: fue responsable de 69% de las infecciones recibidas por correo basura. El malware estuvo inactivo un tiempo, y recientemente ha vuelto tras un tiempo de inactividad. Las campañas de phishing son su método favorito de infección, si bien actualmente está usando una botnet conocida como Dridex junto a otra conocida como Necurs para expandirse.
Locky en acción
Petya es reciente, todavía anda amenazando. Se instalaba en el sector de arranque del disco duro de la máquina infectada, y consiguió infectar 32 millones de máquinas en 2016. Su principal medio de transmisión se basaba en mensajes de correo electrónico con enlaces de Dropbox. Apuntaba a una aplicación que el empleado debe instalar para realizar su trabajo pero cuando se lanza el ejecutable, el ransomware se inserta en el registro de arranque principal y reinicia el sistema, cifrando los datos de la unidad.
Petya
El ransomware Jigsaw amenazaba con borrar un archivo cada hora si el rescate no se pagaba. Si la víctima intentaba parar el proceso o reiniciar el ordenador, entonces borraba 1.000 ficheros. Algunos creen que, a causa del dinero reclamado (entre US$ 20 y US$ 200) y la forma de presionar al usuario, si este malware inicialmente no era un juego basado en un personaje de la saga Saw: cuando una máquina se infectaba, además de ver al personaje ya citado, aparecía un contador de 60 minutos para pagar el rescate.
Jigsaw
Muchos creen que el reciente CryptXXX es la evolución de Reveton. El malware fue descubierto por los investigadores de ProofPoint, y pide un rescate de aproximadamente US$ 1.000 para que se puedan recuperar los archivos de la máquina infectada.
CryptXXX - extension .crypt
