El ransomware que atacó a Telefónica se propaga: Wanna Decrypt0r deja KO varios hospitales en UK

Ransomw

El ciberataque que parecía haber afectado solo a Telefónica es en realidad un ciberataque a nivel mundial que se aprovecha de WanaCrypt0r, el ransomware que es una nueva versión del conocido WCry/WannaCrt y que está secuestrando equipos de intranets empresariales a un ritmo asombroso.

Los datos que se están publicando en medios y redes sociales permiten verificar que este ciberataque está propagándose por varios países de todo el mundo, y que está mucho más presente en Rusia o en Taiwán. España, Alemania, Japón o Turquía están también en esa lista de grandes afectados, y el ataque no respeta a nadie: lo demuestra su presencia incluso en hospitales, como ha ocurrido en el Reino Unido o en Italia.

Difícil saber el alcance del ataque

Aún es pronto para poder conocer cuántas empresas y organismos han sufrido este ciberataque, pero varios expertos en seguridad aseguran que lo que está sucediendo en España se queda en poca cosa si lo comparamos con los casos que ya se han detectado en países como Rusia o Taiwán.

The most affected country until now: Russia.
Spain is just the third…
cc @BleepinComputer @demonslay335 @Seifreed @bartblaze @GossiTheDog pic.twitter.com/qHpHWmuNin

— MalwareHunterTeam (@malwrhunterteam) 12 de mayo de 2017

Por el momento hemos podido conocer pocas empresas afectadas aparte de la confirmación de Telefónica. En España las reacciones de otras empresas han sido variadas y han ido de la precaución al pánico, mientras que fuera de nuestras fronteras ya hay un caso especialmente llamativo: el de la seguridad social británica.

Why would you cyber attack a hospital and hold it for ransom? The state of the world � pic.twitter.com/e6h6yNrBBB

— If.ra (@asystoly) 12 de mayo de 2017

#nhscyberattack pic.twitter.com/SovgQejl3X

— gigi.h (@fendifille) 12 de mayo de 2017

Uno de los hospitales del sistema sanitario británico ha tenido que detener prácticamente todos sus servicios debido a un ataque de ransomware. La imagen de una de las empleadas del hospital muestra cómo se trata del mismo malware que ha afectado a Telefónica, pero las reacciones de personas como un doctor del hospital afectado también mostraba su frustración, mientras que la BBC alerta de que ya son varios los hospitales afectados por el problema:

Massive NHS hack cyber attack today. Hospital in shut down. Thanks for delaying emergency patient care & endangering lives. Assholes.

— B (@brobertson2010) 12 de mayo de 2017

Trusts and hospitals in these areas affected by NHS IT failure:
London
Nottingham
Cumbria
Hertfordshire https://t.co/M6Yf4lUVlC

— BBC Breaking News (@BBCBreaking) 12 de mayo de 2017

El ataque parece estar produciéndose también en una universidad italiana. Uno de sus alumnos publicaba la siguiente foto hace unas horas:

A ransomware spreading in the lab at the university pic.twitter.com/8dROVXXkQv

— 12B (@dodicin) 12 de mayo de 2017

WNCRY, la extensión maldita

Como confirmaban los expertos, todo apunta a que el vector de ataque ha podido ser algún tipo de spam con adjunto que alguno de los usuarios de la intranet empresarial haya abierto. A partir de ahí el exploit habría aprovechado la vulnerabilidad no parcheada para instalar el ransomware y para propagarse por la red sin piedad. Aún así no se sabe con exactitud cuál ha sido la verdadera vía que ha detonado esa infección masiva de equipos.

Wncry

Como indicábamos anteriormente, este ransomware cifra todos los ficheros con extensiones "populares", les añade una extensión .WNCRY y además crea un fichero de texto en el disco duro de la víctima llamado @PleaseReadMe@.txt que es el que indica cómo librarse del problema: pagando una cantidad de dinero en bitcoin, algo que permite mantener el anonimato del atacante, que supuestamente envía la clave para descifrar los datos secuestrados una vez recibido el pago.

Hay herramientas que permiten detectar el ransomware antes de que entre en acción. Yago Jesús, un conocido experto en ciberseguridad español, comprobaba tras la propagación de este ciberataque como la aplicación Anti Ramson v3 es capaz de detectar y bloquear la infección… si la ejecutas antes de que entre en acción, claro.

No era un ataque específico a Telefónica

EL ciberataque sufrido por Telefónica desde hace horas no parece por tanto el centro de este suceso, y todo apunta a que los responsables del mismo han activado el ransomware al mismo tiempo en todas las máquinas infectadas en distintas empresas.

Smittix El módulo EternalBlue en funcionamiento para aprovechar la vulnerabilidad de Microsoft que aparentemente hace que el ransomware (o cualquier otro ejecutable que queramos) pueda entrar en acción

En Xataka hemos contactado con Omar Benbouazza, experto en seguridad que entre otras cosas es organizador de las conferencias RootedCON, y como él mismo explicaba el ataque estaba dirigido a los empleados de Telefónica, pero en realidad "es un ataque de ransomware a nivel mundial".

Como indicaban otras fuentes, el malware utilizado es Wanna Decrypt0r 2.0, que como Benbouazza confirmaba "es una actualización de un ransomware que estuvo afectando también a nivel mundial durante el mes de abril". Este experto nos remitía al artículo de otro consultor en seguridad llamado James "Smittix" Smith que realizaba una prueba de concepto para explotar la vulnerabilidad MS17-010 usando EternalBlue, una de las herramientas utilizadas por la NSA.

En Xataka | Wanna Decryptor: así funciona el ransomware que se ha usado en el ciberataque a Telefónica

También te recomendamos


Wanna Decryptor: así funciona el ransomware que se ha usado en el ciberataque a Telefónica


Así está conquistando el ransomware #WannaCry el mundo: FedEx, Rusia, Ucrania, Taiwán, España y más


¿Por qué las pymes españolas no quieren ser grandes empresas?


La noticia

El ransomware que atacó a Telefónica se propaga: Wanna Decrypt0r deja KO varios hospitales en UK

fue publicada originalmente en

Xataka

por
Javier Pastor

.

Chequea también

Elon Musk dice que las baterías de Tesla podrían reemplazar el sistema eléctrico de Puerto Rico

Elon Musk quiere volver a salvar el mundo, o por lo menos ayudar a que en Puerto Rico vuelvan a tener luz. El creador de Tesla dice estar dispuesto a trabajar en la reconstrucción del sistema energético del país, que quedó prácticamente destruido tras el devastador paso del huracán María dejando a millones de ciudadanos a oscuras y sin luz. Tras el huracán, algunos medios apuntaron a que toda la destrucción que había provocado le brindaba a la isla una oportunidad única de replantearse su modelo energético. Elon Musk respondió a una de esos medios en Twitter asegurando que Tesla había utilizado sus baterías para dar energía a pequeñas islas, y que este modelo no tiene límite de escalabilidad. The Tesla team has done this for many smaller islands around the world, but there is no scalability limit, so it can be done for Puerto Rico too. Such a decision would be in the hands of the PR govt, PUC, any commercial stakeholders and, most importantly, the people of PR.— Elon Musk (@elonmusk) 5 de octubre de 2017 "El equipo de Tesla ha hecho esto para muchas islas más pequeñas alrededor del mundo, pero no hay límite en la escalabilidad, así que se puede hacer también para Puerto Rico", ha dicho Elon Musk en su cuenta de Twitter. "Tal decisión estaría en manos del gobierno de Puerto Rico, de todas las partes comerciales interesadas y, lo que es más importante, de la gente de Puerto Rico”. Musk ya ha estado mostrando en las últimas semanas su apoyo a Puerto Rico tras la catástrofe. Por una parte donó 250.000 dólares para apoyar la reconstrucción de la isla, y por otra hizo que su empresa enviara cientos de baterías Powerwall. Estas utilizan paneles solares para recargarse, por lo que con ellas trata de ayudar a minimizar dentro de lo posible los efectos de la caída de la red eléctrica en varias zonas del país. A Musk le van los grandes proyectos No es la primera vez que Elon Musk propone un reto de esta magnitud para su empresa. Hace unos meses se ofreció a solucionar los problemas energéticos de Australia en 100 días asegurando que si no lo conseguía lo haría gratis. A día de hoy, y ya con la mitad de su proyecto completado parece que acabará cobrando por la azaña tras instalar allí la batería de litio más grande del planeta con 100 megavatios para 30.000 hogares. "Este es un gran ejemplo para el resto del mundo de lo que se puede hacer", ha dicho Musk hace unos días. Para él no sólo está en juego el dinero que perdería si tuviera que hacerlo gratis, sino el demostrar por una parte que las energías renovables sí que son una alternativa, y lo más importante, que Tesla tiene el músculo suficiente como para que se cuente con ellos para proyectos a gran escala. Cabe recordar también que Tesla está intentando llevar esta revolución al ámbito doméstico con sus proyecto de techos solares, aunque algunos expertos apuntan que invertir en ellos puede ser un grave error financiero. Aseguran que cualquier inversión a 30 años debe sopesarse con mucha cautela, y que en el plan de Tesla hay cosas que no cuadran y muchos interrogantes que pueden llevar a que la cosa no salga tan bien como la pintan. Imagen | Heisenberg MediaEn Xataka | Cambiar el tejado a Tesla Solar Roof es un error financiero. Y grande También te recomendamos Tesla está actualizando el hardware de su Autopilot de forma discreta buscando la ansiada autonomía total El nuevo camión de Tesla tendrá capacidades autónomas e iniciará pruebas en Estados Unidos, según Reuters Llevo más de 25 años trabajando en la misma empresa, ¿y qué? Entrevistamos a siete empleados senior - La noticia Elon Musk dice que las baterías de Tesla podrían reemplazar el sistema eléctrico de Puerto Rico fue publicada originalmente en Xataka por Yúbal FM .