WannaCry, el primer gran secuestro de datos que puso en juego millones de archivos en el mundo

WannaCry se convirtió en el primer gran ataque de ransomware de la historia. Puso en juego datos de millones de archvios en todo el mundo, ya que tuvo un alcance global y marcó el inicio del uso político de este tipo de programa maliciosos.

Cabe recordar que el ransomware es un programa malicioso que ingresa al sistema, encripta archivos y luego pide un dinero de rescate para devolver al usuario la posibilidad de acceder a ellos.

WannaCry comenzó a propagarse el 12 de mayo de 2017 y fue descrito como un “ataque sin precedentes” por la magnitud que tuvo: más de 230 mil computadoras en 150 países fueron afectadas.

Los países más perjudicados fueron Rusia, Ucrania, India y Gran Bretaña, donde se vio comprometido el servicio nacional de salud. España, por su parte, sufrió el ataque a la compañía Telefónica y en Alemania, la empresa ferroviaria alemana Deutsche Bahn AG fue el principal blanco.

WannaCry no se siguió expandiendo gracias a un héroe circunstancial que encontró la manera de detenerlo. Se trata de Marcus Hutchins, también conocido por su alias Malware Tech, quien encontró un “botón de apagado” que estaba en el código del malware.

Hutchins pudo evitar la propagación de WannaCry registrando un nombre de dominio al que aparentemente el gusano tenía que conectarse para lograr “capturar” (cifrar) los archivos de las máquinas que infectaba.

Si bien esto no sirvió para ayudar a las máquinas que habían sido infectadas, permitió detener la expansión de este ciberataque y tomar medidas defensivas. Una de ellas fue la actualización de Windows con el parche que la empresa lanzó en marzo de 2017, dos meses antes del ataque pero que muchos usuarios aún no habían llegado a instalar.

Un año luego del incidente, se identificó a Park Jin Hyok como culpable de la creación de Wannacry y su ataque global. Por lo pronto tiene pedida de captura pero está libre.

Cómo ocurrió

WannaCry se propagó agresivamente usando la vulnerabilidad de Windows EternalBlue, o MS17-010. EternalBlue es un error crítico en el código de Windows. La vulnerabilidad permite a los atacantes ejecutar código de forma remota creando una solicitud para el servicio de Compartir archivos e impresoras de Windows.

Una vez que el sistema ingresa en una computadora, escanea la red y busca otras direcciones IP de manera aleatoria. Cuando encuentra otro equipo vulnerable, ingresa y así se comienza a expandir.

Microsoft había lanzado un parche para EternalBlue dos meses antes de la propagación de WannaCry pero millones de usuarios omitieron actualizar el sistema y por eso quedaron vulnerables ante el ataque. Incluso en la actualidad hay usuarios que no instalaron ese parche. Aparte de WannaCry, otras cepas de ransomware, como NotPetya, han utilizado la vulnerabilidad EternalBlue.

El aumento de este tipo de ataques

Los ataques de ransomware han crecido en el último tiempo. Según un informe de Accenture, los ataques de de este tipo aumentaron un 107 % a nivel mundial en el último año. Esta conclusión va en línea con otro estudio recientemente divulgado por Sophos donde se detalla que el 37 % de empresas fueron víctimas de esta modalidad de estafa en 2021.

“Las modalidades de trabajo remoto e híbrido, junto con la adopción acelerada de la nube, han abierto nuevas oportunidades para que los atacantes exploten. Su sofisticación es cada vez mayor, con nuevas tendencias como el Ransomware-as-a-Service o la doble e incluso triple extorsión. Los ciberdelincuentes amenazan con publicar información privada para la doble extorsión y exigen un rescate no solo a la propia organización infectada, sino a sus clientes, socios y proveedores en el formato de triple extorsión”, destacan en un comunicado difundido por CheckPoint en el marco del aniversario de propagación de WannaCry.

Qué medidas de precaución tomar para evitar ser víctima de ransomware

1. Mantener el sistema operativo actualizado para asegurarse de contar con todos los parches de seguridad.

2. Evitar ingresar en enlaces que llegan por correo o mensaje. Tampoco descargar adjuntos. Siempre verificar si la información realmente proviene de quien dice provenir. Para eso hay que contactarse, por teléfono o ingresando al sitio oficial, si la comunicación recibida es genuina.

3. Mantenerse informado en cuestiones de ciberseguridad para estar alerta y saber cómo cuidarse.

4. Contar con un respaldo de la información en la nube y discos duros, en caso de que el equipo eventualmente se vea dañado, para no perder ningún tipo de información.

5. Recurrir a una solución de seguridad para reforzar cuidados.

SEGUIR LEYENDO: