viernes, 12 de mayo de 2017

Wanna Decryptor: así funciona el supuesto ransomware que se ha usado en el ciberataque a Telefónica

Ransom2

Telefónica está sufriendo uno de los ciberataques más importantes de su historia reciente, y las informaciones que se están recibiendo apuntan a un ransomware llamado Wanna Decryptor que "secuestra" los datos de los ordenadores infectados cifrándolos. Los trabajadores de Telefónica no podrían recuperar el acceso a ellos hasta pagar una recompensa económica a los anónimos responsables del ataque.

Eso ha hecho que en la sede de la compañía salten las alarmas, y diversas fuentes han indicado que se está siguiendo un protocolo de emergencia que ha hecho que tanto trabajadores de sus oficinas como externos que tengan acceso a la intranet apaguen sus ordenadores de manera inmediata. El peligro parece real e importante. ¿Cómo ha podido ocurrir esto, y qué hacer para solucionarlo?

Cómo actúa el ransomware

El ransomware es un tipo de malware informático que se instala de forma silenciosa en dispositivos móviles, y ordenadores de todo tipo, y que una vez se pone en acción cifra o encripta todos los datos para bloquear el acceso a ellos sin la contraseña que permite descifrarlos.

Telef Los responsables de Telefónica han difundido este mensaje a los usuarios de su Intranet para que dejen de usar el ordenador de forma inmediata.

El mecanismo de acceso del malware a los ordenadores afectados es variado, pero sobre todo se suele infectar a la víctima a través de correos con spam: recibos o facturas falsas, ofertas de trabajo, advertencias de seguridad o avisos de correos no entregados, etc.

Si la víctima abre el fichero ZIP que normalmente se adjunta en dichos correos, se activa un JavaScript malicioso que hace que se instale el malware para que el ciberatacante lo active cuando lo considere oportuno.

Ese tipo de ataque puede activarse también a través de exploits que aprovechen vulnerabilidades de todo tipo. Los últimos datos del ciberataque sufrido por Telefónica parecen apuntar a equipos con Windows, y justo esta semana Microsoft publicaba un parche para una vulnerabilidad crítica "zero-day" que había descubierto recientemente y que era especialmente peligrosa.

O pagas, o te olvidas de tus datos (más o menos)

Para lograr la contraseña los responsables de este tipo de ciberataque piden un rescate que a menudo es económico. Como se ve en la imagen, lo que ven los usuarios afectados suele ser una pantalla informativa en la que se pide una cantidad de dinero (en este caso, 300 dólares en bitcoin) que se deben pagar en un plazo establecido, o de lo contrario esos datos quedarán bloqueados para siempre.

Ransomware Esto es lo que están viendo en sus pantallas actualmente los afectados por este ransomware

Los afectados por el ciberataque tienen pocas opciones, y de hecho muchos se plantean pagar directamente esas cantidades ya que la recuperación de los datos suele ser muy difícil en caso contrario.

Incluso pagando, avisan los expertos en seguridad, las garantías de que el atacante ofrezca la clave de cifrado no son totales, algo que nos deja aún más vulnerables. Aquí lo ideal es, como apuntan empresas de seguridad como Kaspersky, es contar con copias de seguridad: los backups nos pueden salvar de estas situaciones, sobre todo si la empresa sigue una política adecuada con actualizaciones frecuentes de esas copias. Eso permitiría a los afectados recuperar los datos (o la gran mayoría de ellos) a partir de esos backups y poder obviar la amenaza.

En Telefónica ya están trabajando para tratar de resolver el problema y Chema Alonso, CSO de la empresa, emitía un pequeño comunicado a través de Twitter para indicar que la situación está ahora mismo afectando además a otras empresas.

Wanna Decryptor, un ransomware que se propaga a través de la red

Las capturas que han ido apareciendo en los últimos momentos apuntan a que el ransomware utilizado en este ciberataque ha sido Wanna Decryptor (Wcry), un conocido malware que cifra datos a través del algoritmo AES para luego plantear ese rescate.

Ransom1

Como explicaban en MySpybot, uno de los problemas de obtener la clave para descifrar los datos es que no está en el ordenador local, sino almacenada en la máquina desde la que se realiza el ataque, lo que obliga a los usuarios a hacer el pago para poder recuperar el acceso a sus datos si no tienen algún tipo de backup para recuperar esos datos desde él.

Otro de los problemas adicionales que plantea este ransomware en concreto es que no solo afecta a los datos locales, sino que además se propaga por la red, cifrando los formatos de fichero más populares para acabar "destruyendo" el acceso a datos compartidos en una intranet sin que los usuarios puedan hacer mucho por evitarlo.

Imagen | KasperskyLab En Xataka | Qué es el ransomware, cómo actúa y cómo prevenirlo

También te recomendamos

Así es el estado de excepción técnico para empleados de Telefónica y externos con acceso a su intranet

Un ciberataque deja fuera de juego la intranet de Telefónica en toda España

En Melbourne los árboles son una cuestión de Estado: sus habitantes pueden adoptar uno

-
La noticia Wanna Decryptor: así funciona el supuesto ransomware que se ha usado en el ciberataque a Telefónica fue publicada originalmente en Xataka por Javier Pastor .



Gracias a Javier Pastor

No hay comentarios.:

Publicar un comentario