Microsoft wannacry

Wannacry github

El viernes se produjo el mayor ataque global de ransomware de la historia de Internet, y el mundo no lo manejó bien. Sólo estamos empezando a calcular el daño infligido por el programa WannaCry -tanto en dólares como en vidas perdidas por el tiempo de inactividad de los hospitales-, pero al mismo tiempo, también estamos calculando la culpa.

Hay una larga lista de responsables, entre ellos los delincuentes, la NSA y las propias víctimas, pero el más polémico ha sido la propia Microsoft. El ataque aprovechó un protocolo de red de Windows para propagarse en las redes, y aunque Microsoft lanzó un parche hace casi dos meses, ha quedado dolorosamente claro que ese parche no llegó a todos los usuarios. Microsoft seguía las mejores prácticas de seguridad y aun así dejó vulnerables cientos de miles de ordenadores, con consecuencias nefastas. ¿Fue suficiente?

Para algunos, la respuesta es un obvio no. La socióloga Zeynep Tufekci, en The New York Times, culpó directamente a Microsoft por su decisión de dejar de dar soporte a las versiones antiguas de Windows. “Empresas como Microsoft deberían descartar la idea de que pueden abandonar a la gente que utiliza software antiguo”, escribió Tufekci. “Las normas de la industria son de pésimas a horribles, y es razonable esperar que una empresa con una posición dominante en el mercado, que ganó tanto dinero vendiendo software que hace funcionar infraestructuras críticas, haga más”.

Quién está detrás de wannacry

Los ciberdelincuentes responsables del ataque se aprovecharon de una debilidad en el sistema operativo Microsoft Windows utilizando un hack que supuestamente fue desarrollado por la Agencia de Seguridad Nacional de Estados Unidos.

Microsoft publicó un parche de seguridad que protegía los sistemas de los usuarios contra este exploit casi dos meses antes de que comenzara el ataque del ransomware WannaCry. Por desgracia, muchas personas y organizaciones no actualizan regularmente sus sistemas operativos, por lo que quedaron expuestas al ataque.

Cuando ocurrió por primera vez, la gente asumió que el ataque del ransomware WannaCry se había propagado inicialmente a través de una campaña de phishing (una campaña de phishing es cuando los correos electrónicos de spam con enlaces o archivos adjuntos infectados atraen a los usuarios a descargar malware). Sin embargo, EternalBlue fue el exploit que permitió a WannaCry propagarse y extenderse, siendo DoublePulsar la “puerta trasera” instalada en los ordenadores comprometidos (utilizada para ejecutar WannaCry).

Los atacantes pidieron 300 dólares en bitcoins y luego aumentaron la petición de rescate a 600 dólares en bitcoins. Si las víctimas no pagaban el rescate en un plazo de tres días, las víctimas del ataque del ransomware WannaCry recibían la noticia de que sus archivos serían eliminados de forma permanente.

Wannacry deutsche bahn

Mientras que los ataques de ransomware han aumentado su frecuencia en los últimos seis meses, la empresa de ciberseguridad Check Point observó la semana pasada un aumento de los incidentes dirigidos a los servidores de Microsoft Exchange vulnerables a los denominados errores críticos de ProxyLogon.

Según Microsoft, el 14 de marzo había unos 82.000 servidores Exchange vulnerables. Una semana más tarde, la cifra se redujo considerablemente a unos 30.000 equipos expuestos, según datos de RiskIQ.

Los datos de telemetría de Check Point mostraron la semana pasada más de 50.000 intentos de ataque en todo el mundo, la mayoría de ellos dirigidos a organizaciones de los sectores gubernamental/militar, manufacturero y bancario/financiero.

Casi la mitad de los intentos de ataque se produjeron en Estados Unidos (49%), la región más atractiva con diferencia, en comparación con otros países en los que Check Point registró muchos menos incidentes (Reino Unido – 5%, Países Bajos y Alemania – ambos 4%).

“De hecho, CPR encontró que hay 40 veces más organizaciones afectadas en marzo de 2021 en comparación con octubre de 2020. Las nuevas muestras siguen utilizando el exploit EternalBlue para propagarse – para el que hay parches disponibles desde hace más de 4 años” – Check Point

Wannacry 2021

Hoy, la compañía ha advertido a los usuarios que apliquen un parche crítico para una vulnerabilidad de ejecución remota de código que podría abrir las versiones más antiguas de Windows al ataque. La precaución de sentido común no es suficiente, porque el exploit puede activarse incluso sin que el usuario realice ninguna acción. “En otras palabras, la vulnerabilidad es ‘wormable’, lo que significa que cualquier futuro malware que explote esta vulnerabilidad podría propagarse de ordenador vulnerable a ordenador vulnerable de forma similar a como el malware WannaCry se extendió por todo el mundo en 2017”, advierte Simon Pope, de Microsoft.

Al igual que con el desagradable WannaCry, un ataque generalizado que bloqueó los ordenadores y pidió un rescate, Microsoft está dando el raro paso de emitir parches de seguridad para Windows XP y Windows Server 2003 -dos sistemas operativos “muertos” fuera de soporte- para someter el impacto del último gusano. Windows 7, Windows Server 2008 y Windows Server 2008 R2 también han recibido actualizaciones críticas para protegerse de esta nueva vulnerabilidad de seguridad, que tiene como objetivo los servicios de escritorio remoto del sistema operativo.