Ataque de Malware WannaCry
WannaCry fue un ataque de ransomware ocurrido en 2017 originado por el cryptoworm (gusano) del mismo nombre.
Dirigido contra ordenadores con sistema operativo Microsoft Windows , cifraba sus datos y exigía pagos de rescate en la criptomoneda de Bitcoin. Fue detenido a los pocos días gracias a los parches de emergencia publicados por Microsoft y al descubrimiento de un kill switch que evitó que los equipos infectados siguieran propagando el malware. Se estima que el ataque afectó a más de 200.000 ordenadores en unos 150 países.
Fechas del ataque
El viernes 12 de mayo de 2017 las soluciones de protección avanzada de Panda Security, Adaptive Defense360 , comenzó a detectar y bloquear un gran número de ataques que aprovechaban la vulnerabilidad EternalBlue para introducir el software WannaCry. El alcance de los ataques llegó prácticamente a todos los rincones del planeta.
Además de afectar a ciertos sistemas vulnerables de Microsoft Windows, cifrando los archivos y las unidades de red a las que estaban conectados, WannaCry afectó a otros sistemas vulnerables de Windows en la misma red. El proceso terminaba con una demanda de rescate de 300 dólares.
Además, la activación el lunes posterior de equipos vulnerables que no habían sido afectados durante el fin de semana inició una segunda oleada de propagación. Instituciones y empresas en China y Japón se vieron afectadas por este rebrote de la actividad, incluyendo grandes multinacionales, así como cajeros y hospitales.
Tipología de ataque
El gran impacto de esta campaña de ataques puede atribuirse a la explotación de una vulnerabilidad de Windows muy extendida. La idea de utilizar este exploit se atribuye a la Agencia Nacional de Seguridad norteamericana (NSA) en documentos que habían sido filtrados un mes antes del ataque, en abril de 2017.
La infección no requería de intervención humana -como abrir un correo electrónico o descargar un archivo de Internet- para entrar en un sistema. Este método implica que el malware se pudo extender de forma simultánea en prácticamente todo el planeta y sin la intervención de los usuarios. Por lo tanto, se trataba de un ataque masivo que afectaba potencialmente a cualquier equipo, con o sin presencia de usuarios.
La infección contaminaba todos los dispositivos Windows conectados en la misma red que no estuvieran correctamente actualizados. En ese sentido, la infección de un único ordenador podía comprometer toda la red corporativa.
Muchas soluciones de protección tradicionales destinadas a detener archivos maliciosos no son capaces de bloquear los ataques que se aprovechan de esta u otras vulnerabilidades para entrar en el equipo y en la red. La consecuencia fue que el ciberataque se afectó a un gran número de países y un enorme número de usuarios (principalmente de grandes organizaciones).
Cómo protegerse
No todas las empresas mundiales que no habían ejecutado la actualización en sus ordenadores de su red fueron infectadas por WannaCry, pero muchas compañías tuvieron que detener todos sus procesos hasta que se implementó el parche, como medida de precaución.
Teniendo esto en cuenta, se desprende que la solución para eliminar el riesgo de este tipo de ataques tiene que venir a través de enfoques integrales y fundamentalmente diferentes de la ciberseguridad, como el que ofrece Panda DOME. Gracias a la visibilidad que proporciona la suite de productos de Panda y a las capacidades de prevención, detección y ejecución de las medidas necesarias para responder de forma inmediata, los equipos que lo tenían instalado quedaron protegidos desde los primeros minutos del ataque.
