Desde su descubrimiento el viernes por la tarde, el ataque de WannaCry ransomware ha seguido propagándose, afectando a más de 10,000 organizaciones y 200,000 personas en más de 150 países, según las autoridades europeas. Sin embargo, aunque se han tomado medidas para reducir la propagación del malware, han comenzado a aparecer nuevas variaciones.

WannaCry es, de lejos, el ataque de malware más grave hasta ahora en 2020, y la difusión de este problemático ransomware está lejos de terminar.

¿Qué es WannaCry?

En primer lugar, aclaremos exactamente qué es WannaCry. Este malware es un tipo aterrador de virus troyano llamado “ransomware”. Como su nombre lo indica, el virus en efecto retiene al host de la computadora infectada y dice que la víctima paga un rescate para recuperar el acceso a los archivos en su computadora.

RansomWare como WannaCry funciona cifrando la mayoría o incluso todos los archivos en la computadora de un usuario. Luego, el software reclama que se pague un rescate para que los archivos se descifren. En el caso de WannaCry específicamente, el software afirma que la víctima paga un rescate de $ 300 en bitcoins en el momento de la infección. Si el usuario no paga el rescate en tres días, la cantidad se duplica a $ 600. Después de siete días sin pagar, WannaCry eliminará todos los archivos cifrados y todos los datos se perderán.

WannaCry paralizó las computadoras que ejecutaban la mayoría de las versiones anteriores de Microsoft Windows. La firma de seguridad rusa Kaspersky Lab dijo el lunes que partes del programa WannaCry usan el mismo código que el malware que distribuía anteriormente el Grupo Lazarus, un grupo de hackers detrás del hack de Sony 2020 que se atribuye a Corea del Norte. Pero es posible que el código se haya copiado simplemente del malware Lazarus sin ninguna otra conexión directa. Kaspersky dijo que “una mayor investigación puede ser fundamental para conectar los puntos”.

Otra empresa de seguridad, Symantec, también encontró similitudes entre las herramientas de WannaCry y Lazarus, y dijo que “continúa investigando para obtener conexiones más sólidas”.

Los investigadores pueden encontrar algunas pistas adicionales en las cuentas de bitcoin que aceptan los pagos de rescate. Hasta ahora se han identificado tres cuentas, y aún no hay indicios de que los delincuentes hayan tocado los fondos. ¿Pero de qué sirve el dinero simplemente sentarse allí como bits digitales?

Aunque Bitcoin es anónimo, los investigadores pueden verlo fluir de usuario a usuario. Así que los investigadores pueden seguir las transacciones hasta que una cuenta anónima coincida con una persona real, dijo Steve Grobman, director de tecnología de la compañía de seguridad de California McAfee. Pero esa técnica no es una apuesta segura. Hay formas de convertir bitcoins en efectivo a escondidas a través de terceros. E incluso encontrar una persona real podría no ser de ayuda si se encuentra en una jurisdicción que no cooperará.

Otro posible inconveniente: Nicholas Weaver, quien es el encargado de establecer redes y seguridad en la Universidad de California en Berkeley, dijo que el buen ransomware generalmente genera una dirección de bitcoin única para cada pago para dificultar el rastreo. Eso no parece suceder aquí.

James Lewis, un experto en seguridad cibernética del Centro de Estudios Estratégicos e Internacionales en Washington, dijo que los investigadores estadounidenses están recolectando información forense, como direcciones de Internet, muestras de malware o información que los culpables podrían haber dejado inadvertidamente en las computadoras, que podrían haber coincidido con la obra de piratas informáticos conocidos.

Los investigadores también podrían extraer cierta información sobre el atacante desde una dirección de Internet previamente oculta conectada al “interruptor de muerte” de WannaCry. Ese interruptor fue esencialmente una baliza que envía el mensaje “hey, estoy infectado” a la dirección oculta, dijo Weaver.

Eso significa que los primeros intentos de llegar a esa dirección, que pueden haber sido grabados por agencias de espionaje como la NSA o la inteligencia rusa, podrían llevar a un “paciente cero”, la primera computadora infectada con WannaCry. Eso, a su vez, puede reducir aún más el enfoque en las posibles preocupaciones.

Los forenses, sin embargo, solo obtendrán investigadores hasta ahora. Uno de los desafíos será compartir inteligencia en tiempo real para moverse tan rápido como los criminales, una hazaña difícil cuando algunas de las principales naciones involucradas, como Estados Unidos y Rusia, desconfían mutuamente.

Incluso si los perpetradores pueden ser identificados, llevarlos ante la justicia podría ser otro asunto. Pueden estar escondidos en países que no estarían dispuestos a extraditar sospechas para ser procesados, dijo Robert Cattanach, ex abogado del Departamento de Justicia de los EE. UU. Y experto en ciberseguridad.

Por otro lado, el ataque WannaCry golpeó, y molestó, a muchos países. Rusia estuvo entre las más difíciles y Gran Bretaña entre las más destacadas, y ambas tienen “algunas capacidades de investigación bastante buenas”, dijo Cattanach.

¿Qué puedo hacer si mi computadora está infectada con WannaCry?

Desafortunadamente, no hay una solución confirmada para WannaCry disponible en este momento. Las compañías de antivirus y los expertos en seguridad cibernética están trabajando arduamente para encontrar formas de descifrar los archivos en las computadoras infectadas, pero no hay medios de descifrado de terceros disponibles en este momento. Esperemos que los usuarios afectados tengan copias de seguridad de sus datos disponibles, porque la única otra opción que se sabe que funciona es seguir las instrucciones que se ofrecen en el software para pagar el rescate.

Dejar respuesta

Please enter your comment!
Please enter your name here