Quiero llorar | |
---|---|
Captura de pantalla de Wana Decrypt0r 2.0 | |
Tipo de | Gusano de red , ransomware , explotación |
Año de aparición | 12 de mayo de 2017 (inicio del ataque masivo) |
Software utilizado |
Vulnerabilidad SMB de Windows , puerta trasera DoublePulsar , exploit EternalBlue _ |
Descripción de Symantec | |
Descripción de Securelist | |
Archivos multimedia en Wikimedia Commons |
WannaCry (traducido como “Quiero llorar” , también conocido como WannaCrypt [1] , WCry [2] , WanaCrypt0r 2.0 [3] [4] y Wanna Decryptor [5] ) es un malware , gusano de red y ransomware por dinero . que infecta las computadoras que ejecutan el sistema operativo Microsoft Windows . Después de infectar una computadora, el código del gusano cifra casi todos los archivos almacenados en la computadora y ofrece pagar un rescate en criptomonedas por su descifrado. Si el rescate no se paga dentro de los 7 días desde el momento de la infección, la capacidad de descifrar archivos se pierde para siempre.
La distribución masiva de WannaCry comenzó el 12 de mayo de 2017 : las computadoras en España fueron de las primeras en ser atacadas , y luego en otros países. Entre ellos, Rusia , Ucrania e India están a la cabeza en términos de número de infecciones [6] . En total, en poco tiempo, 500.000 computadoras [7] propiedad de individuos, organizaciones comerciales y agencias gubernamentales en más de 200 países alrededor del mundo [8] sufrieron el gusano . La propagación del gusano bloqueó el trabajo de muchas organizaciones en todo el mundo: hospitales, aeropuertos, bancos, fábricas, etc. En particular, en varios hospitales británicos, se pospusieron procedimientos médicos programados, exámenes y operaciones de emergencia.
El gusano de red WannaCry utiliza una vulnerabilidad en los sistemas operativos Windows para infectar computadoras , cuya información, presumiblemente, era conocida por la Agencia de Seguridad Nacional (NSA) de EE. UU . The Equation Group , un grupo de hackers asociado con la NSA, creó el exploit EternalBlue y la puerta trasera DoublePulsar , lo que permite que esta vulnerabilidad se use para infectar una computadora y obtener acceso a ella. Posteriormente, la información sobre la vulnerabilidad y los programas para explotarla fueron robados de la NSA por el grupo de hackers The Shadow Brokers y publicados en el dominio público [8] . El gusano WannaCry en sí mismo fue creado y lanzado por atacantes desconocidos utilizando información robada de la NSA. El principal sospechoso es el grupo de hackers Lazarus Group , presuntamente asociado con el gobierno de la RPDC .
El malware escanea un rango de direcciones IP de redes locales y direcciones IP de Internet seleccionadas al azar en busca de computadoras con el puerto TCP 445 abierto, que es responsable de servir el protocolo SMBv1 . Habiendo encontrado una computadora de este tipo, el programa hace varios intentos para explotar la vulnerabilidad EternalBlue en ella y, si tiene éxito, instala la puerta trasera DoublePulsar [9] , a través de la cual se carga y ejecuta el código ejecutable del programa WannaCry. En cada intento de explotación, el malware verifica la presencia de DoublePulsar en la computadora de destino y, si se detecta, se carga directamente a través de esta puerta trasera [9] .
Una vez lanzado, el malware actúa como un ransomware clásico: genera un par de claves asimétricas RSA-2048 que es único para cada computadora infectada . WannaCry luego comienza a escanear el sistema en busca de archivos definidos por el usuario de ciertos tipos , dejando intactos aquellos críticos para su funcionamiento posterior. Cada archivo seleccionado se cifra mediante el algoritmo AES-128-CBC con una clave única (aleatoria) para cada uno de ellos, que a su vez se cifra con la clave RSA pública del sistema infectado y se almacena en la cabecera del archivo cifrado. Esto agrega la extensión .wncry a cada archivo encriptado . El par de claves RSA del sistema infectado se cifra con la clave pública de los atacantes y se envía a sus servidores de control ubicados en la red Tor , después de lo cual todas las claves se eliminan de la memoria de la máquina infectada. Después de completar el proceso de encriptación, el programa muestra una ventana con el requisito de transferir una cierta cantidad en bitcoins (equivalente a 300 dólares estadounidenses ) a la billetera especificada dentro de los tres días. Si el rescate no se recibe a tiempo, su monto se duplicará automáticamente. Al séptimo día, si WannaCry no se elimina del sistema infectado, los archivos cifrados se destruyen [10] . El mensaje se muestra en el idioma que coincide con el idioma instalado en la computadora. En total, el programa admite 28 idiomas. Junto con el cifrado, el programa escanea direcciones arbitrarias de Internet y de la red local en busca de una infección posterior de las nuevas computadoras [11] [12] .
Según la investigación de Symantec , el algoritmo de los atacantes para rastrear los pagos individuales de cada víctima y enviarles una clave de descifrado se implementa con un error de condición de carrera . Esto hace que los pagos de rescate no tengan sentido, ya que las claves individuales no se enviarán de todos modos y los archivos permanecerán encriptados. Sin embargo, existe un método confiable para descifrar archivos de usuario de menos de 200 MB, así como algunas posibilidades de recuperar archivos más grandes. Además, en sistemas Windows XP y Windows Server 2003 obsoletos, debido a las peculiaridades de la implementación del algoritmo de cálculo de números pseudoaleatorios en el sistema, incluso es posible recuperar claves RSA privadas y descifrar todos los archivos afectados si la computadora tiene no se ha reiniciado desde el momento de la infección [13] . Posteriormente, un grupo de expertos franceses en ciberseguridad de Comae Technologies amplió esta función a Windows 7 y la puso en práctica publicando la utilidad WanaKiwi [14] , que permite descifrar archivos sin rescate [15] [16] .
En el código de las primeras versiones del programa, se proporcionó un mecanismo de autodestrucción, el llamado Kill Switch[10] , - el programa verificaba la disponibilidad de dos dominios de Internet específicos y, si estaban disponibles, los eliminaba por completo de la computadora. Esto fue descubierto por primera vez el 12 de mayo de 2017 por Marcus Hutchins .[17] , un analista de virus de 22 años de la empresa británica Kryptos Logic, tuiteó con el nombre de usuario @MalwareTechBlog y registró uno de los dominios a su nombre. Así, logró bloquear temporalmente [K 1] parcialmente la distribución de esta modificación del programa malicioso [18] [19] . El 14 de mayo también se registró el segundo dominio [10] . En versiones posteriores del virus, se eliminó este mecanismo de autodesconexión, sin embargo, esto no se hizo en el código fuente, sino editando el archivo ejecutable , lo que sugiere que el origen de esta corrección no es de los autores del WannaCry original, pero de atacantes externos. Como resultado, el mecanismo de encriptación resultó dañado y esta versión del gusano solo puede propagarse, encontrando computadoras vulnerables, pero no es capaz de causarlesdaño directo [K 2] [20] .
La alta velocidad de propagación de WannaCry, única para ransomware, se asegura al explotar una vulnerabilidad en el protocolo de red SMB del sistema operativo Microsoft Windows publicada en febrero de 2017, descrita en el boletín MS17-010 [21] . Mientras que en el esquema clásico, el ransomware ingresaba a la computadora a través de las acciones del propio usuario a través de un correo electrónico o un enlace web, en el caso de WannaCry, la participación del usuario está completamente excluida. El tiempo mínimo entre el descubrimiento de un equipo vulnerable y su infección completa es de unos 3 minutos [11] .
La empresa desarrolladora ha confirmado la existencia de una vulnerabilidad en absolutamente todos los productos de usuario y servidor que implementan el protocolo SMBv1, comenzando con Windows XP / Windows Server 2003 y terminando con Windows 10 / Windows Server 2016 . El 14 de marzo de 2017, Microsoft lanzó una serie de actualizaciones destinadas a neutralizar la vulnerabilidad en todos los sistemas operativos compatibles [21] . Luego de la distribución de WannaCry, la compañía tomó la medida sin precedentes de lanzar también actualizaciones para los productos con fin de soporte ( Windows XP , Windows Server 2003 y Windows 8 ) el 13 de mayo [22] [23] .
El 12 de mayo de 2017, el gusano se extendió por todo el mundo. Muchos países fueron atacados, pero la mayoría de las computadoras infectadas estaban en varios países: en Ucrania , Rusia , India y Taiwán [6] [24] [25] .
En España, las PC fueron atacadas en Telefónica , Gas Natural , Iberdrola (proveedor de electricidad), Centro Nacional de Inteligencia , Banco Santander y una sucursal de la consultora KPMG . En el Reino Unido, los ordenadores de los hospitales (fideicomisos del NHS) se han infectado [26] . Las computadoras de Deutsche Bahn fueron infectadas en Alemania .
En Rusia, los ministerios ( Ministerio del Interior de Rusia [27] ), MegaFon [28] sufrieron . Estas organizaciones refutaron informes de ataques exitosos contra Sberbank y el Ministerio de Situaciones de Emergencia [29] . Los sistemas de información de Russian Railways se vieron afectados , pero el gusano se localizó rápidamente y no afectó el movimiento de los trenes [30] . Además, el Centro de Monitoreo y Respuesta a Ataques Informáticos en la Esfera Financiera y de Crédito del Banco de Rusia (FinCERT) informó que se registraron "casos únicos de compromiso de los recursos de las instituciones de crédito", pero las consecuencias de estos incidentes fueron eliminadas como lo antes posible [31] .
A partir de las 13:20 del 13 de mayo , según MalwareTech BotNet Tracker [32] , 131 233 computadoras en todo el mundo están infectadas, de las cuales 1145 están en línea.
Renault cerró sus fábricas para probar sus PC [33] .
El Ministerio del Interior de Rusia, aunque en un principio negó la infección de su red, luego confirmó que la infección se produjo porque algunos empleados del departamento se conectaron a Internet desde sus ordenadores “a través de uno u otro mecanismo” [34] . Irina Volk, representante oficial del Ministerio del Interior de Rusia, declaró: “Los recursos del servidor del Ministerio del Interior de Rusia no se infectaron debido al uso de otros sistemas operativos y servidores domésticos con el procesador ruso Elbrus ” [35] . El número de PC infectados fue de alrededor de 1000, que es aproximadamente el 1% de todo el parque informático [35] . En algunas regiones de la Federación Rusa, ciertas unidades del Ministerio del Interior no funcionaron temporalmente [36] .
Según Europol , a partir del 15 de mayo, WannaCry infectó alrededor de 200.000 ordenadores en más de 150 países de todo el mundo [37] . Sin embargo, la ganancia del ataque para los atacantes resultó ser relativamente pequeña: en ese momento, solo se realizaron 110 transacciones por un total de alrededor de 23,5 bitcoins (aproximadamente 65,8 mil dólares estadounidenses) en estas billeteras bitcoin [38] . El mismo día, hablando en una conferencia de prensa, el presidente V. V. Putin calificó de insignificante el daño al país por un ciberataque mundial [39] .
A partir del 17 de mayo de 2017, según Symantec, se desconoce la fuente y el método de distribución inicial de WannaCry. Las opiniones expresadas anteriormente de que el ataque comenzó con el envío de mensajes de correo electrónico maliciosos no han sido confirmadas [10] .
Al 26 de mayo de 2017, según el sitio web MalwareTech BotNet Tracker , más de 410 000 computadoras en todo el mundo están infectadas , de las cuales 170 000 están en línea [7] .
Para recibir el rescate de las víctimas, se utilizan tres monederos electrónicos registrados en el programa. Como en todos estos casos, su información de saldo y transferencia de dinero es pública, mientras que el propietario de la billetera permanece desconocido [40] . Al 25 de mayo de 2017, se realizaron 302 transferencias por un total de $126 742 a las cuentas de los atacantes [ 41 ] .
A partir del 6 de junio de 2017, según el sitio web MalwareTech BotNet Tracker , más de 520 000 computadoras y 200 000 direcciones IP están infectadas [7] .
Según algunos expertos, la propagación del virus podría haber comenzado debido a una fuga antes de que se completara el trabajo. A favor de la incompletitud del virus está la presencia de solo tres monederos bitcoin cosidos en el código y la falta de encriptación al acceder a dominios que activan el mecanismo de autodestrucción [42] .
El 28 de marzo de 2018, los sistemas operativos de Boeing Aircraft Corporation fueron atacados con WannaCry. La empresa llevó a cabo rápidamente medidas de recuperación de software y el virus no afectó las actividades de producción de Boeing [43] .
El conglomerado internacional de hackers " Anonymous " expresó su indignación por las actividades de los creadores del gusano WannaCry debido a que este gusano golpeó las redes informáticas de instituciones públicas y médicas. Debido a su activación en varios hospitales británicos, se pospuso la implementación de procedimientos médicos prescritos, exámenes y operaciones de emergencia. Este hecho despertó especial indignación entre la división francesa de Anonymous, que publicó un mensaje condenando los ciberataques de WannaCry y la NSA , que no informó hasta el 12 de mayo sobre el robo del software necesario para el funcionamiento del gusano de sus bases de datos [44]. ] .
El ex oficial de la CIA y ahora disidente estadounidense Edward Snowden afirmó que la vulnerabilidad de los sistemas operativos de la familia MS Windows , gracias a los cuales WannaCry se extendió por todo el planeta, era conocida desde hace mucho tiempo por los técnicos de la NSA . Sin embargo, no consideraron necesario informar a Microsoft sobre esto , y lo anunciaron solo cuando la infección de las computadoras se generalizó [45] [46] .
El 14 de mayo, el presidente y consejero general de Microsoft , Brad Smith, declaró que el virus explotaba una vulnerabilidad que le había sido robada a la Agencia de Seguridad Nacional (NSA) de EE. UU. [47] [48] .
Más tarde, el 15 de mayo, el presidente ruso, Vladimir Putin, recordó estas palabras de la dirección de Microsoft , llamando a los servicios de inteligencia estadounidenses "la fuente principal del virus", y afirmó que "Rusia no tiene absolutamente nada que ver con eso" [49] [50 ] . Al mismo tiempo, Nikolai Patrushev, secretario del Consejo de Seguridad de la Federación Rusa , afirmó que no había evidencia de que los servicios especiales de ningún país estuvieran involucrados en la propagación masiva del virus WannaCry en todo el mundo. Según él, si los servicios especiales estuvieran detrás del ataque de los hackers, sus consecuencias "serían mucho más graves". Sin embargo, reconoció que en el ataque participaron especialistas altamente calificados [51] .
El ataque fue posible gracias a una vulnerabilidad en la implementación de Microsoft del protocolo de red Server Message Block (SMB) [21] . La vulnerabilidad fue conocida por la Agencia de Seguridad Nacional de EE. UU. durante algún tiempo y se implementó como una herramienta lista para usar ( exploit ) para llevar a cabo el ataque EternalBlue . Esta herramienta, entre muchas, pasó a manos del grupo de hackers The Shadow Brokers y fue publicada por este en el dominio público el 14 de abril de 2017 [4] [52] [53] [54] [55] . Según WikiLeaks , EternalBlue fue desarrollado originalmente por Equation Group , un grupo de piratas informáticos con vínculos con la NSA, y luego fue robado por The Shadow Brokers [56] .
Los expertos en ciberseguridad industrial moderna creen que el código ejecutable del gusano WannaCry en sí no es particularmente sofisticado técnicamente [8] . Sin embargo, los expertos de Kaspersky Lab y la empresa de antivirus Symantec , basándose en un tuit publicado por el investigador de Google Neil Mehta, notaron que las firmas del código de WannaCry coinciden con la firma del código supuestamente utilizado en febrero de 2015 por el grupo de hackers Lazarus Group [57] [58] Sospechoso de tener vínculos con el gobierno de Corea del Norte . A este grupo se le atribuye la realización de muchos ataques informáticos de alto perfil entre 2012 y 2014, incluido el ataque a la infraestructura bancaria de SWIFT y la piratería de los servidores de Sony Pictures Entertainment [59] . Esta hipótesis, basada en su propia investigación, fue confirmada por el experto de la empresa surcoreana Hauri Labs, Simon Choi, quien es asesor de la policía surcoreana y de la Agencia Nacional de Inteligencia . Según él, el código del virus coincide con los códigos norcoreanos de programas maliciosos de puerta trasera [60] .
En Occidente, se cree que el Grupo Lazarus está asociado con la división cibernética de la Dirección de Inteligencia del Estado Mayor KPA de la RPDC, conocida como División 121 ( eng. Bureau 121 ). En 2015, un desertor de la RPDC, el profesor de informática Kim Hyun Kwang , habló sobre esta organización en una entrevista con la BBC . Según él, la Unidad 121 es uno de los proyectos prioritarios del gobierno de la RPDC, que recibe una financiación muy importante. Cerca de 6.000 "hackers militares" sirven en la unidad, cuyas tareas incluyen ataques a objetos de infraestructura: líneas de comunicación y satélites de comunicación. Los piratas informáticos son reclutados entre los estudiantes del Instituto de Automatización de la Universidad Politécnica Kim Chaek en Pyongyang [61] .
Al mismo tiempo, según Kaspersky Lab y Symantec , aún es prematuro sacar conclusiones sobre si Corea del Norte está involucrada en los ataques. John Miller, experto de la empresa de ciberseguridad FireEye , dijo que las similitudes encontradas en los códigos del virus WannaCry y el grupo Lazarus no son lo suficientemente únicos como para sacar conclusiones sobre su origen a partir de una fuente común [60] . Además, los fragmentos del código del Grupo Lazarus podrían simplemente ser utilizados por otro grupo de piratas informáticos [62] [63] , incluso de forma deliberada, para confundir la investigación y evitar que se identifique al verdadero atacante [58] . El portavoz de Europol , Jan Op Gen Orth, también señaló que Europol aún no podía confirmar la información sobre la participación de la RPDC [64] . Kim Ying Ren , representante permanente adjunta de la RPDC ante la ONU , calificó las sospechas contra la RPDC de "ridículas" [65] .
Más tarde , el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC), que lidera la investigación internacional [61] , confirmó la hipótesis de que el Grupo Lazarus estuvo involucrado en el ataque cibernético [61] . Según el presidente de Microsoft , Brad Smith, "En esta etapa, todos los observadores informados han concluido que la causa de WannaCry fue la RPDC, que usó ciberherramientas o armas robadas a la Agencia de Seguridad Nacional (NSA) de los Estados Unidos" [66] . El gobierno británico también está de acuerdo con esta opinión [67] .
Además, según los expertos, las marcas de tiempo en el código fuente de WannaCry se establecen en la zona horaria UTC +9 [63] , en la que se encuentran algunos países de Asia oriental . Comparando el momento de agregar el archivo ejecutable y el primer ataque WannaCry registrado (en Taiwán), los investigadores concluyeron que los autores del virus se encuentran en la zona horaria UTC +9 [68] .
El análisis lingüístico del texto de rescate, realizado por expertos de la empresa estadounidense de ciberseguridad Flashpoint , mostró que el idioma nativo de los autores de WannaCry es muy probablemente el dialecto sureño del idioma chino . Según ellos, los creadores de este programa probablemente sean residentes de Hong Kong , el sur de China , Singapur o Taiwán [69] [70] . La versión coreana del texto está mal escrita [68] . Al mismo tiempo, no todos los expertos están de acuerdo con estas conclusiones, ya que, en su opinión, esto puede ser un enmascaramiento y ofuscación deliberado de las huellas [70] . Según Sergio de los Santos, responsable de la división de ciberseguridad de ElevenPaths de Telefónica , el idioma nativo del creador de WannaCry es el coreano porque era el idioma predeterminado en la versión EMEA de Word utilizada para crear archivos RTF. En su opinión, los errores en el texto del rescate en coreano pueden ser un intento deliberado de ocultar la nacionalidad y es mucho más probable que el autor del virus se haya olvidado de cambiar el idioma predeterminado [68] .
Según los expertos, en los primeros cuatro días de un ciberataque a gran escala , lo sufrieron unos 300.000 usuarios en 150 países del mundo. El daño total se estima en mil millones de dólares estadounidenses [71] .
El experto en ciberseguridad croata Miroslav Stampar, utilizando el sistema Honeypot , descubrió un nuevo gusano de malware llamado " EternalRocks " (posiblemente similar a EternalBlue), que utiliza siete herramientas de piratería robadas a la NSA y hace que las computadoras que ejecutan sistemas operativos Windows sean vulnerables a futuros ataques que podrían suceder en cualquier momento [72] [73] [74] [75] [76] . Al mismo tiempo, este gusano se disfraza de WannaCry para confundir a los investigadores.
![]() |
---|