El ataque del ransomware WannaCry podría haber sido mucho peor

La sede de la NSA, donde las vulnerabilidades del software se acumulan en secreto... y luego se roban, se filtran y se liberan ante un público desprevenido.





Es posible que haya escuchado: un ataque de ransomware de alcance mundial conocido como WannaCry (y WannaCrypt y WannaDecryptor) comenzó el viernes y finalmente abarcó unas 200,000 computadoras en 150 países.

Pero podría haber sido mucho peor, y tenemos que agradecer a los investigadores de ciberseguridad por asegurarse de que no fuera así.

A pesar de que el viernes seguía corriendo la voz de que las computadoras en docenas de hospitales en el Reino Unido estaban siendo bloqueadas maliciosamente, y se publicaba un aviso exigiendo un rescate en sus pantallas, un investigador anónimo conocido como MalwareTech estaba en el proceso de cerrar la propagación del programa. .



Como ella informado en una fascinante publicación de blog , MalwareTech había encontrado una dirección URL no registrada en el código de WannaCry. Sospechando que la dirección tenía algo que ver con la forma en que se comunicaba el virus, una característica común en las botnets y otros tipos de malware, MalwareTech registró el dominio y observó cómo inundaba el tráfico de miles de computadoras infectadas, casi sobrecargando el servidor que aloja el dominio. Por lo general, este tipo de movimiento de sumidero es un esfuerzo para interrumpir una red de bots, por ejemplo, para que no emita comandos a los sistemas infectados.

En este caso, el dominio resultó ser un interruptor de apagado: en cualquier sistema que se puso en contacto con la URL, el virus se cerró solo. WannaCry estaba saliendo.

Sin embargo, como señaló MalwareTech, los programadores maliciosos podrían alterar fácilmente el código de WannaCry para hacer ping a una nueva dirección. Y lo hicieron. El domingo una nueva variante infectaba miles de sistemas en Rusia. Eso también fue recortado. gracias al rápido trabajo de un investigador de ciberseguridad .



Mientras tanto, Microsoft dio el paso inusual de apresurarse a distribuir un parche para una falla en la versión no compatible de Windows que estaba explotando WannaCry. La Agencia de Seguridad Nacional de EE.UU. había sido acaparando la vulnerabilidad , pero se filtró después del robo de los secretos de la agencia por parte de un grupo de hackers conocido como Shadow Brokers.

Desafortunadamente, como hemos dicho antes, el ransomware se ha convertido en una forma popular de ciberdelincuencia por una sencilla razón: paga. También es difícil, aunque no imposible, detenerlo. Además de los ataques de este fin de semana, los delincuentes bloquearon parte del sistema de transporte público de San Francisco y un hospital en Los Ángeles; en este último caso, obligaron al hospital a pagar $ 17,000 para recuperar el acceso a sus archivos.

Los arquitectos de WannaCry también buscaban un día de pago rápido. Pero hicieron que fuera bastante fácil seguir el dinero: el código de WannaCry contenía las direcciones de tres billeteras de Bitcoin. A media tarde del lunes, un bot de Twitter que rastreaba los pagos a las billeteras dijo que las cuentas tenían un total de poco más de $55,000 en ellas.



Gracias a tal escrutinio, algunos expertos han especulado que quien está detrás de WannaCry no se atreverá a intentar hacer un retiro de las billeteras, por temor a que se descubra su tapadera. La suma en sí también podría darles una pausa. Claro, es mucho dinero, pero podría haber sido mucho más.

(Lee mas: Tecnología de malware , Los Angeles Times , BBC , Cuarzo , Retención de datos como rehenes: ¿El crimen perfecto en Internet? , dos formas de detener el ransomware en seco)



esconder