Wannakiwi, una de las herramientas más eficaces para liberarte del virus

Diez días después de su eclosión -y de acaparar momentáneamente todas las portadas- el ransomware Wannacry sigue activo. Son muchos los usuarios afectados que tienen bloqueados los datos de sus equipos y, aunque había aparecido algunas herramientas pensadas en solventar el problema, todas ellas han parecido meros parches que no evitaban tener que desembolsar el «rescate» por el mismo.

Los datos de Kaspersky Lab indican que casi un 98% de los equipos infectados trabajan con una versión de Windows 7 (no actualizada correctamente). Curiosamente, aunque el agujero de seguridad parecía que iba a ser más grave en Windows XP (ya sin soporte), solo 1 de cada 1.000 usuarios afectados por el ransomware empleaba esta antigua versión del software de Microsoft.

Precisamente por eso el lanzamiento de Wannakiwi es una de las mejores noticias: basada en Wannakey, vas más allá que esta al poder descifrar datos secuestrados en ordenadores con versiones Windows XP, Windows 7 y Windows 2003. Además, por lo que hemos podido indagar en internet, hay usuarios con otras versiones posteriores como Vista, Server 2008 y Server 2008 R2 que también han podido liberarse gracias a este software.

Xataka

La herramienta, desarrollada por Matt Suiche -un reputado experto en seguridad que se ha involucrado desde el primer momento en solventar la crisis del ransomware-, ha obtenido la certificación de Europol.

Su funcionamiento, curiosamente, se aprovecha de otra debilidad de la plataforma: Microsoft Cryptographic Application Programming Interface, el sistema que emplea tanto el sistema operativo como Wannacry para encriptar ficheros.

Para recuperar su información es vital no reiniciar el equipo tras detectar la infección y descargarse directamente la aplicación para ejecutarla cuanto antes. Cuanto antes se ponga a trabajar Wannakiwi antes se pondrá a trabajar en el desbloqueo de fichero y antes conseguirá que toda la información quede secuestrada.

Ransomware, ¿cómo ha sido el ciberataque que ha aterrorizdo al mundo digital?

Este es el mapa de afectados por el ataque de ransomware del pasado viernes. Una frase amenazante hizo que el caos se «apoderara» de las ventajas de la era digital: «oops, tus archivos acaban de ser cifrados. Si quieres recuperarlos tendrás que pagar.» En el Estado la más afectada era Telefónica. Cientos de ordenadores de empleados quedaban secuestrados.

El Ministerio de Interior hacía público a lo largo del día que al menos 10 grandes compañías españolas se habían visto afectadas por el chantaje digital. Una pequeña parte que afectó a cientos de empresas en 155 países y cientos de miles de ordenadores. Uno de los casos más llamativos: 40 hospitales en Reino Unido.

La herramienta que se empleó para este ataque a gran escala -el primero de este tipo- fue WannaCry, una clase de malware conocido como WanaCrypt0r o WCry. Las primeras alarmas -aquí- llegaron cuando empleados de la teleco alertaron de que para liberar sus ordenadores necesitaban pagar 300 Bitcoins. Se iniciaba el protocolo de emergencia: se apagaban todos los ordenadores y no se encenderían hasta nueva orden.

Vodafone España, Gas Natural, Iberdrola, Everis, Capgemini… el número aumentaba, lo que hizo que muchas empresas -el ataque iba a todos los sectores y todos los tamaños- decidieran optar por apagar ordenadores. El Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) y el Instituto Nacional de Ciberseguridad (Incibe) se pusieron manos a la obra para averiguar el calado del ataque. Aunque el número de empresas era reducido, el nombre de las mismas era muy llamativo.

La punta del iceberg de un ataque global que se extendió con una velocidad inusitada. Kaspersky detectó hasta 45.000 ataques con WannaCry. Las cifras del ataque eran devastadoras en países como Rusia, Ucrania, India, Taiwán y Tayikistán. Avast, por su parte, detectó más de 57.000 en 28 idiomas, MalWare Tech, empresa que detectó el primer ransomware, sube la cifra hasta los 91.000 -de los que casi 90.000 ya están offline).

El caso más difícil, como hemos dicho antes, fue el de Reino Unido: 40 hospitales y centros de salud con médicos que no podían acceder a las fichas de sus pacientes. Operaciones que tuvieron que ser retrasadas y servicios de urgencias bloqueados.

En Estados Unidos FedEX anunciaba que tenía que dejar apagados sus ordenadores hasta el lunes -incluido-. Portugal Telecom y Megafon (operadora rusa) admitían ataques que mermaban su funcionamiento. Renault-Nissan tenía que cesar la producción en algunas de sus plantas. Universidades en Italia y China. Bancos en Rusia, ayuntamientos en Suecia.

El Confidencial

El factor diferencial

Hasta ahora el ransomware siempre había sido relativamente fácil de solucionar. Alguien enviaba miles de correos infectados y siempre había alguien que abría el adjunto con el archivo ejecutable que le hacía perder el control de su ordenador. Sin embargo, hasta ahora, nunca un ordenador infectaba a otro.

Ese ha sido en este caso el factor diferencial. Aprovechando una vulnerabilidad de Windows se infectaba el primer ordenador e inmediatamente el virus se ponía a buscar otros equipos con la misma vulnerabilidad para entrar y ampliar la red. Es lo que se conoce como un gusano.

La vulnerabilidad de la plataforma de Microsoft, conocida como EternalBlue, es un fallo en el protocolo de intercambio de archivos dentro de una misma red conocido como Server Message Block o SMB. El fallo, desconocido durante mucho tiempo, salió a la luz cuando WikiLeaks desveló que era el sistema que empleaba la NSA estadounidense para entrar en ordenadores y controlar sus operaciones en misiones de espionaje.

El grupo de hackers «ShadowBrokers» lo desveló con la intención de demostrar las malas artes de la inteligencia estadounidense el pasado 14 de abril lo que hizo que Microsoft tuviera que lanzar un parche para evitar lo que precisamente ha ocurrido. Si se hubieran actualizado los ordenadores -algo que siempre recomendamos desde aquí sea cual sea el sistema operativo que utilicemos- el ataque hubiera sido mucho menor: se hubiera reducido a aquellos que aceptaron la descarga del ejecutable y nunca se hubiera creado una red de equipos infectados.

Descartado que fueran hackers patrocinados por algún gobierno -se barajó el chino- desde el momento que pidieron un rescate económico, se puede decir que las ganancias del ataque han sido más bien escasas: poco más de 26.000 dólares. Si bien, su impacto en la sensación de estar completamente desamparados ante un ataque a gran escala han sido enormes.

La solución

La solución a este ataque vino de la mano de un joven de 22 años del Sur de Inglaterra -nada más se sabe- que investiga para Malware Tech y que sintió que debía intentar desensamblar el código del virus cuando vio que se estaba atacando a hospitales y centros de salud.

Con la ayuda de Darien Huss de Proofpint y encontró el dominio de internet www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com que compró en Namecheap.com por 10,69 dólares. Desde el primer momento detectó más de 5.000 conexiones por segundo. Básicamente cuando el virus se instalaba en un equipo intentaba conectarse con la web. Si lo podía hacer bloqueaba el equipo y si no podía -porque estaba actualizado-, se retiraba.

Esto hizo que Estados Unidos se «salvara» puesto que cuando se puso en marcha el parche estaba iniciando el despliegue en el país. Al parecer, los analistas creen que el ataque se trataba de una prueba y que quien lo desarrolló dejó un botón del pánico por si todo esto se iba de las manos. Es lo que en ciberseguridad se conoce como la «prueba de concepto» de un virus. Si bien, desde otras fuentes dicen que lleva habiendo oleadas de este tipo de ataques desde finales de marzo.

Seguridad e internet, ¿qué es un ataque DDoS?

Sin duda, ha sido la noticia de la semana, el pasado viernes las páginas de servicios como Twitter, Spotify, Netflix o PayPal dejaron de funcionar correctamente o, incluso, dejaron de funcionar. Al principio muchos usuarios pensaron en fallos puntuales de sus operadores -el ataque comenzó en zonas aisladas de la costa Este de Estados Unidos-, no obstante, en poco tiempo se pudo corroborar que se trataba de un ataque DDoS sobre Dyn, uno de los principales proveedores de DNS (acrónimo de Sistema de Nombres de Dominio en inglés).

Aunque todavía no hay datos concluyentes sobre el origen y el motivo del ataque, ya hay expertos -como los de la firma de seguridad Flashpoint- que aseguran saber cuál ha sido la herramienta utilizada para perpetrar el ataque: una enorme cantidad de cámaras IP y dispositivos grabadores infectados con malware que permitía a los atacantes controlarlos de forma remota y dirigir una enorme cantidad de tráfico hacia un mismo objetivo: Dyn.

Flashpoint, de hecho, se ha atrevido a dar un posible nombre que tienen en común gran parte de estos dispositivos zombie: XiongMai Technology, un fabricante chino de componentes que vende a terceros. Esto confirma que el ataque DDoS -en castellano, un ataque de denegación de contenido- tuvo como herramienta dispositivos IoT.

Aunque es cierto que no es ninguna novedad: el mayor ataque de este tipo que se recuerda tuvo como objetivo OVH que llegó a recibir un flujo de información de 1 Tbps de más de 145.000 cámaras IoT y equipos grabadores. El motivo es sencillo: hay una enorme cantidad (en 2020 habrá más de 80.000 millones de dispositivos conectados) de los que un gran porcentaje trabajando durante todo el día) y son fáciles de infectar ya que los fabricantes no están tomándose en serio su seguridad.

De esta forma, con herramientas sencillas como Mirai se pueden escanear la red en busca de dispositivos desprotegidos o que emplean las contraseñas por defecto del fabricante con lo que es muy sencillo coordinar un ataque.

Al fin y al cabo, un DDoS suele consistir en dirigir una enorme cantidad de información contra un objetivo para que este, sobrepasado por el flujo, deniegue el acceso a los usuarios habituales dejando en suspenso el servicio.

De esta forma, la mezcla de una gran cantidad de dispositivos, un bot como Mirai Botnet y un objetivo atractivo al que atacar convierte los DDoS en una forma limpia de sacudir la red. Además, este formato de ataque otorga un mayor anonimato al autor ya que pueden realizar uno o varios grupos a la vez sin ni siquiera coordinarse. La única buena noticia es que el ataque del viernes tuvo como único objetivo bloquear páginas web y servicios relevantes y no realizar un robo de datos -para los que habitualmente se emplean herramientas más sofisticadas-.

La duda que nos surge ahora es que, si se trata de la tercera vez que se realiza un ataque de este tipo en poco tiempo (en agosto de este mismo año una famosa web de seguridad recibió 620 Gbps y quedó inoperativa), ¿a qué esperan las autoridades para legislar sobre la seguridad de los nuevos equipos inteligentes? En cualquier caso, nuestra recomendación, es dejar de utilizar las contraseñas por defecto en equipos domésticos como los módem. Nos protegerá de formar parte en el ataque o de posibles robos de datos.