A estas alturas lo más probable es que estés más que familiarizado con WannaCrypt, el ransomware que ayer atacaba la red interna de Telefónica y que también ha ido dejando fuera de combate a otras organizaciones por medio mundo, incluyendo varios hospitales de Reino Unido. Parecía que nos encontrábamos ante una "epidemia informática" a nivel global pero, de pronto, las infecciones parecen haberse detenido.
¿El motivo? Un investigador británico, @MalwareTechBlog en Twitter, dice haber encontrado un "kill-switch", un interruptor de apagado de emergencia, en el código del ransomware, y ha hecho uso de él. En concreto, y según él asegura al diario The Guardian, WannaCrypt incluía en una parte de su código una conexión a un dominio concreto: si se conectaba, el malware se "dormía"; si no, procedía a atacar.
El dominio no estaba registrado, así que @MalwareTechBlog decidió registrarlo. Por unos 10 euros consiguió hacerse con dicho nombre de dominio e, inmediatamente después, comenzó a recibir a través de él numerosas peticiones de equipos infectados. Las redirige a un servidor sinkhole, a través del cual está detectando datos del ataque y enviándolos, según él asegura, al FBI. Como el ransomware detecta que hay conexión, entonces no infecta el equipo.
Captura del código donde se puede ver que WannaCrypt intenta conectarse a un dominio y, en función de la respuesta, sigue con el ataque o no.
La solución de @MalwareTechBlog nos sirve, además, para hacernos una idea de los numerosos ataques que WannaCrypt está intentando a nivel global. Con la procedencia de las solicitudes que recibe a través del dominio registrado, el investigador ha elaborado un mapa en tiempo real que muestra desde dónde se conectan los ordenadores infectados y el New York Times ha optado por enseñar en un mapa en diferido la evolución de las infecciones en todo el mundo.
La existencia de este "kill-switch" ha sido confirmada por Malwarebytes y por Talos Intelligence, perteneciente a CISCO. En el siguiente gráfico muestran cómo comenzaron a detectar un aumento de peticiones DNS sobre dicho dominio a partir de las 07.24 UTC, hasta alcanzar las 1.400 simultáneas horas más tarde:
Pero ¿ha detenido el ataque?
Infections for WannaCry/WanaDecrpt0r are down due to @MalwareTechBlog registering initial C2 domain leading to kill-switch #AccidentalHero
— Warren Mercer (@SecurityBeard) 12 de mayo de 2017
Todavía es pronto para responder, pero todo parece indicar que sí o, al menos, está ayudando a ralentizar la infección de nuevos equipos. Darien Huss, de la compañía de ciberseguridad Proofpoint, así lo asegura, y también CISCO a través de Warren Mercer, responsable técnico de Cisco Talos, y del propio análisis de Talos Intelligence que comentábamos antes. En Malwarebytes lo confirman y además lo explican así:
El WinMain de este ejecutable primero se intenta conectar al sitio web www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. No descarga nada de allí, simplemente intenta conectarse. Si se conecta, deja de ejecutarse.
Esto era probablemente una especie de kill-switch o técnica anti-sandbox. Pero, fuera lo que fuera, ha resultado contraproducente contra los autores del gusano, ya que el dominio ha sido redigirido a un sinkhole y el host en cuestión ahora resuelve una IP que hospeda un sitio web. Por tanto, nada pasará a los nuevos sistemas en los que se ejecute este ejecutable. Esto sólo se aplica a esta variante con el hash que hemos compartido; podría haber nuevas versiones en el futuro
Mercer se refiere a @MalwareTechBlog como un "héroe accidental", y el propio investigador británico lo confirma: "Confieso que no sabía que registrar el dominio detendría el malware hasta después de registrarlo, así que inicialmente fue accidental".
Eso sí, esto no significa que las maldades de WannaCrypt se hayan terminado aquí. Los ordenadores infectados siguen infectados y, además, si alguien decidiera modificar el malware y volver a distribuirlo con otro dominio o directamente sin esa línea de código, podríamos volver a encontrarnos con una epidemia mundial, según advierten @MalwareTechBlog y otros expertos. ¿Lo mejor? Parchear los sistemas lo antes posible.
En Xataka | Todo sobre el ataque de WannaCrypt
Ver 65 comentarios
65 comentarios
falconx
Ale, listillos, a seguir con el Windows Update desactivado
kirabm
ha tenido un homer simpson
dago.pa1
Ah pero se la pasan chillando contra el Windows update y diciendo que prefieren xp a Windows 10 creators ja ja. Yo con mi pc en dual boot ubuntu/windows 10 no me preocupo
zgluis
Parece de película de niños donde la mejor arma del villano tiene un botón que dice "Autodestruir"
Guybrushh
Aquí todos guardan su información, recuerdos y demás en la nube y en un disco físico? O sea 2 backups. Tengo Linux, me debería preocupar por algo?
julio.huascar
Un heroe que no saldra en las noticias de la tele.
eduardoceroninavarro
Esta información está mal descrita. Los periodistas debieran ocupar la ética y ser más responsables al momento de escribir tantas idioteces que se contradicen ellos mismos, causando confusión con tanta falacia. Los únicos archivos que Ramsonware infecta y modifica son los de Ofimática (archivos de Word, planillas Excel, diapositivas Power Point, bases de datos de Access, archivos PDF, etc.). Es decir, sólo la información personal del usuario y ojo, sólo por usuario. Si el equipo posee dos o más usuarios, el daño se limita sólo al usuario activo al momento de la infección. Por otro lado, este virus y sus variantes más agresivas se presentaron durante mayo de 2015, siendo su punto más alto el año 2016, donde muchos equipos se vieron comprometidos. Las empresas de software antivirus se pusieron en campaña y a finales de mayo de 2016 ya había multitud de herramientas para lograr desencryptar la información secuestrada. No es efectivo que el virus deje el sistema operativo inutilizable, porque no está orientado al reemplazo de equipos, sino al cobro por el rescate de los archivos comprometidos. Por eso, analicemos mejor lo que publican periodistas, personas ignorantes en el infinidad de temas, pero con la autoridad de inventar las más retorcidas falacias con tal de alarmar a las personas que confían en ellos. Saludos.
Belmondo
¿Y los que tenemos Windows 7? Es que en el enlace que se pone para "parchear" no veo que haya para este SO. Gracias.
Luis
El grupo Talos es de lo mejor en ciberseguridad existente a día de hoy
enigmaelectronica
Tambien se puede hacer creer al ransomware que esta conectado a ese dominio. En el archivo Host del equipo se agrega ese dominio y listo.
Host en c Windows system32 y listo editarlo con notepad
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 127.0.0.1
alfredo4891
Yo tengo encriptado el ssd donde está el SO windows 10 actualizado y otro hdd donde tengo los documentos, ¿me podría afectar a mi este rasomware? Gracias
silvio.dol
No se porque Microsoft no se molesta en permitirnos apagar las descargas de actualizaciones automáticas en Windows 10 home, es lo único que odio de ese Sistema.
mb300sl
Una pregunta desde la ignorancia, como accedio el investigador al codigo fuente?
euromobel
Realmente, no es rentable piratear el Windows
lidka.jankova
y yo mientras tanto, con mi kubuntu y mis palomitas jejejejee