Wannacry es malware del tipo

Quién está detrás del ataque wannacry

Este tipo de ataque se aprovecha de las vulnerabilidades humanas, del sistema, de la red y del software para infectar el dispositivo de la víctima, que puede ser un ordenador, una impresora, un smartphone, un wearable, un terminal de punto de venta (TPV) u otro endpoint.

WannaCry es un ransomware de entrada que aprovecha una vulnerabilidad en el protocolo SMB de Windows y tiene un mecanismo de autopropagación que le permite infectar otras máquinas. WannaCry se empaqueta como un dropper, un programa autocontenido que extrae la aplicación de cifrado/descifrado, los archivos que contienen las claves de cifrado y el programa de comunicación Tor. No está ofuscado y es relativamente fácil de detectar y eliminar. En 2017, WannaCry se extendió rápidamente por 150 países, afectando a 230.000 ordenadores y causando unos daños estimados en 4.000 millones de dólares.

Cerber es un ransomware como servicio (RaaS), y está disponible para ser utilizado por los ciberdelincuentes, que llevan a cabo los ataques y difunden su botín con el desarrollador del malware. Cerber se ejecuta silenciosamente mientras encripta los archivos, y puede intentar impedir que se ejecuten las funciones de seguridad del antivirus y de Windows, para evitar que los usuarios restauren el sistema. Cuando encripta con éxito los archivos de la máquina, muestra una nota de rescate en el fondo de escritorio.

Análisis de Wannacry

Los ciberdelincuentes responsables del ataque se aprovecharon de una debilidad en el sistema operativo Microsoft Windows utilizando un hack que supuestamente fue desarrollado por la Agencia de Seguridad Nacional de Estados Unidos.

Microsoft publicó un parche de seguridad que protegía los sistemas de los usuarios contra este exploit casi dos meses antes de que comenzara el ataque del ransomware WannaCry. Por desgracia, muchas personas y organizaciones no actualizan regularmente sus sistemas operativos, por lo que quedaron expuestas al ataque.

Cuando ocurrió por primera vez, la gente asumió que el ataque del ransomware WannaCry se había propagado inicialmente a través de una campaña de phishing (una campaña de phishing es cuando los correos electrónicos de spam con enlaces o archivos adjuntos infectados atraen a los usuarios a descargar malware). Sin embargo, EternalBlue fue el exploit que permitió a WannaCry propagarse y extenderse, siendo DoublePulsar la “puerta trasera” instalada en los ordenadores comprometidos (utilizada para ejecutar WannaCry).

Los atacantes pidieron 300 dólares en bitcoins y luego aumentaron la petición de rescate a 600 dólares en bitcoins. Si las víctimas no pagaban el rescate en un plazo de tres días, las víctimas del ataque del ransomware WannaCry recibían la noticia de que sus archivos serían eliminados de forma permanente.

Cómo se propagó Wannacry

Bienvenido a WannaCry, en el que los hackers bloquean tus archivos y exigen un pago para descifrarlos. Si ha visto este mensaje en su ordenador, entonces ha sido infectado por WannnaCry o por una forma similar de ransomware.

Como su nombre indica, el ransomware se refiere a un software malicioso que cifra los archivos y exige un pago -un rescate- para descifrarlos. WannaCry sigue siendo una de las variedades de ransomware más conocidas. ¿Por qué? Bueno, hay algunas razones por las que WannaCry es tan conocido:

Los ciberdelincuentes cobraban a las víctimas 300 dólares en bitcoin para liberar sus archivos. Los que no pagaron a tiempo se enfrentaron a tarifas dobles por la clave de descifrado. El uso de criptomonedas, junto con su comportamiento similar al de un gusano, hizo que WannaCry recibiera la distinción de criptogusano.

El ataque de WannaCry explotó en mayo de 2017, atrapando algunos objetivos notables como el Servicio Nacional de Salud del Reino Unido. Se extendió como un reguero de pólvora, infectando más de 230.000 ordenadores en 150 países en tan solo un día.

WannaCry se propagó utilizando la vulnerabilidad de Windows denominada MS17-010, que los hackers pudieron aprovechar mediante el exploit EternalBlue. La NSA descubrió esta vulnerabilidad de software y, en lugar de informar a Microsoft, desarrolló un código para explotarla. Este código fue robado y publicado por un oscuro grupo de hackers llamado The Shadow Brokers. Microsoft se dio cuenta de EternalBlue y publicó un parche (una actualización de software para corregir la vulnerabilidad). Sin embargo, aquellos que no aplicaron el parche (que era la mayoría de la gente) seguían siendo vulnerables a EternalBlue.

Dominio de Wannacry killswitch

WannaCry es un ataque de ransomware de gran repercusión que se extendió rápidamente por las redes informáticas de todo el mundo en mayo de 2017. El ataque se dirigió a una vulnerabilidad en versiones antiguas de Windows, para la que Windows había lanzado un parche más de dos meses antes de que WannaCry se extendiera por todo el mundo.

El dropper inicial de WannaCry contiene una aplicación que permite al atacante cifrar y descifrar datos. El componente de cifrado se conoce como Wana Decrypt0r 2.0, y dentro de él había un archivo ZIP protegido por contraseña.

WannaCry, también conocido como WCry, fue un ataque de ransomware que surgió por primera vez en mayo de 2017. El ataque fue muy efectivo porque se propagó a través de dispositivos explotando el protocolo Windows Server Message Block (SMB), que permite a las máquinas de Windows comunicarse entre sí en una red.

El ataque se propagó utilizando EternalBlue, una vulnerabilidad de día cero en los dispositivos que utilizan una versión antigua de SMB. Fue descubierta por primera vez por la Agencia de Seguridad Nacional de Estados Unidos (NSA) antes de ser obtenida por el grupo de hackers Shadow Brokers, que publicó el exploit dentro de un post en el sitio de blogs Medium en abril de 2017.