Wanna Decryptor: así funciona el ransomware que se ha usado en el ciberataque a Telefónica

Wanna Decryptor: así funciona el ransomware que se ha usado en el ciberataque a Telefónica

105 comentarios Facebook Twitter Flipboard E-mail
Wanna Decryptor: así funciona el ransomware que se ha usado en el ciberataque a Telefónica

Telefónica está sufriendo uno de los ciberataques más importantes de su historia reciente, y las informaciones que se están recibiendo apuntan a un ransomware llamado Wanna Decryptor que "secuestra" los datos de los ordenadores infectados cifrándolos. Los trabajadores de Telefónica no podrían recuperar el acceso a ellos hasta pagar una recompensa económica a los anónimos responsables del ataque.

Eso ha hecho que en la sede de la compañía salten las alarmas, y diversas fuentes han indicado que se está siguiendo un protocolo de emergencia que ha hecho que tanto trabajadores de sus oficinas como externos que tengan acceso a la intranet apaguen sus ordenadores de manera inmediata. El peligro parece real e importante. ¿Cómo ha podido ocurrir esto, y qué hacer para solucionarlo?

Cómo actúa el ransomware

El ransomware es un tipo de malware informático que se instala de forma silenciosa en dispositivos móviles, y ordenadores de todo tipo, y que una vez se pone en acción cifra o encripta todos los datos para bloquear el acceso a ellos sin la contraseña que permite descifrarlos.

Telef
Los responsables de Telefónica han difundido este mensaje a los usuarios de su Intranet para que dejen de usar el ordenador de forma inmediata.

El mecanismo de acceso del malware a los ordenadores afectados es variado, pero sobre todo se suele infectar a la víctima a través de correos con spam: recibos o facturas falsas, ofertas de trabajo, advertencias de seguridad o avisos de correos no entregados, etc.

Si la víctima abre el fichero ZIP que normalmente se adjunta en dichos correos, se activa un JavaScript malicioso que hace que se instale el malware para que el ciberatacante lo active cuando lo considere oportuno.

Ese tipo de ataque puede activarse también a través de exploits que aprovechen vulnerabilidades de todo tipo. Los últimos datos del ciberataque sufrido por Telefónica parecen apuntar a equipos con Windows, y justo esta semana Microsoft publicaba un parche para una vulnerabilidad crítica "zero-day" que había descubierto recientemente y que era especialmente peligrosa.

O pagas, o te olvidas de tus datos (más o menos)

Para lograr la contraseña los responsables de este tipo de ciberataque piden un rescate que a menudo es económico. Como se ve en la imagen, lo que ven los usuarios afectados suele ser una pantalla informativa en la que se pide una cantidad de dinero (en este caso, 300 dólares en bitcoin) que se deben pagar en un plazo establecido, o de lo contrario esos datos quedarán bloqueados para siempre.

Ransomware
Esto es lo que están viendo en sus pantallas actualmente los afectados por este ransomware

Los afectados por el ciberataque tienen pocas opciones, y de hecho muchos se plantean pagar directamente esas cantidades ya que la recuperación de los datos suele ser muy difícil en caso contrario.

Incluso pagando, avisan los expertos en seguridad, las garantías de que el atacante ofrezca la clave de cifrado no son totales, algo que nos deja aún más vulnerables. Aquí lo ideal es, como apuntan empresas de seguridad como Kaspersky, es contar con copias de seguridad: los backups nos pueden salvar de estas situaciones, sobre todo si la empresa sigue una política adecuada con actualizaciones frecuentes de esas copias. Eso permitiría a los afectados recuperar los datos (o la gran mayoría de ellos) a partir de esos backups y poder obviar la amenaza.

En Telefónica ya están trabajando para tratar de resolver el problema y Chema Alonso, CSO de la empresa, emitía un pequeño comunicado a través de Twitter para indicar que la situación está ahora mismo afectando además a otras empresas.

El problema, eso sí, no afecta a consumidores o clientes de Movistar, cuyo acceso a los servicios de voz y datos proporcionados por la compañía siguen funcionando con normalidad.

Wanna Decryptor, un ransomware que se propaga a través de la red

Las capturas que han ido apareciendo en los últimos momentos apuntaban a que el ransomware utilizado en este ciberataque ha sido Wanna Decryptor (Wcry), un conocido malware que cifra datos a través del algoritmo AES para luego plantear ese rescate. La CCN-CERT confirma que en efecto este ransomware es el utilizado en este ciberataque.

Ransom1

Como explicaban en MySpybot, uno de los problemas de obtener la clave para descifrar los datos es que no está en el ordenador local, sino almacenada en la máquina desde la que se realiza el ataque, lo que obliga a los usuarios a hacer el pago para poder recuperar el acceso a sus datos si no tienen algún tipo de backup para recuperar esos datos desde él.

Otro de los problemas adicionales que plantea este ransomware en concreto es que no solo afecta a los datos locales, sino que además se propaga por la red, cifrando los formatos de fichero más populares para acabar "destruyendo" el acceso a datos compartidos en una intranet sin que los usuarios puedan hacer mucho por evitarlo.

Telefónica no es la única: otras muchas empresas españolas afectadas

Un comunicado de la CCN-CERT, uno de los organismos de seguridad más importantes de nuestro país, ha confirmado que aunque Telefónica ha sido la gran protagonista del ciberataque hay otras muchas que están también afectadas por este ransomware.

"Se ha alertado de un ataque masivo de ransomware a varias organizaciones que afecta a sistemas Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows que haya en esa misma red", explican los responsables de este organismo, que confirman que el ransomware es una versión de WannaCry.

Como explican en este comunicado, se hace uso de una vulnerabilidad de ejecución de comandos remota a través del protocolo SMB que hace que el malware se distribuya al resto de máquinas Windows de esa red.

Los sistemas afectados son Windows en distintas versiones (Windows 7, 8.1, Windows 10, Windows Vista SP2, Windows Server 2008/2012/2016). Según ese informe, la vulnerabilidad aprovechada en el ciberataque fue incluida en un boletín de seguridad de Microsoft el pasado 14 de marzo, y hay un documento de soporte para poder solucionar el problema.

Imagen | KasperskyLab En Xataka | Qué es el ransomware, cómo actúa y cómo prevenirlo

Comentarios cerrados
Inicio