En más de 150 países WannaCry causó severos daños: ante la ola de ataques a nivel mundial, se vieron afectados entre muchos otros: el servicio nacional de salud del Reino Unido, el fabricante de automóviles Renault, e incluso también algunos departamentos de la empresa ferroviaria alemana Deutsche Bahn fueron vulnerados. Sin embargo, desde el primer correo malicioso, Hornetsecurity Advanced Threat Protection pudo detectar e impedir dicho ataque a tiempo.

 

WannaCry es un software extorsivo que se transporta por email y de ahí se expande. De ser activado desde un dispositivo local, codifica los archivos allí existentes. Luego a los usuarios se les pide sumas de dinero para obtener nuevamente la clave de decodificación, lo cual no es aconsejado por los expertos en seguridad. En el caso de WannaCry el malware se aprovechó de un Exploit, cuyo origen se le atribuye a la Agencia de Seguridad Nacional de los Estados Unidos (NSA, por sus siglas en inglés) y que un grupo de hackers llamados “Shadow Brokers” descubrió y publicó.

 

Captura de pantalla de WannaCry

Este mensaje apareció el fin de semana en miles de ordenadores

Lo pérfido de WannaCry, es que el software malicioso se aprovecha de un punto de vulnerabilidad en el “protocolo del bloque de mensajes del servidor” (SMB, por sus siglas en inglés), para así expandirse y seguir infectando a otros sistemas de computación. Por este motivo, WannaCry ha alcanzado un grado alarmante de expansión a nivel mundial. WannaCry está basado en el viejo sistema operativo Windows XP, usado todavía con frecuencia. Por considerarse este desactualizado, su fabricante Microsoft no previó actualizaciones de seguridad para Windows XP, situación la cual ha cambiado drásticamente a raíz del éxito obtenido por WannaCry.

 

 

Hornetsecurity Advanced Threat Protection (ATP) ha detectado el novedoso ransomware desde el primer indicio, a través de patrones de análisis dinámicos detectados en el Sandbox y colocados en cuarentena. Análisis posteriores de WannaCry por parte de especialistas en seguridad de Hornetsecurity, aseveraron que el software instala una variante del Backdoor DOUBLEPULSAR, mediante la cual se filtra el código malicioso. Seguidamente el programa codifica los diversos archivos y les añade la terminación “.wncry”, así p. ej. al archivo finanzas.xlsx lo convierte en finanzas.xlsx.wncry. Debido a esto, los archivos se vuelven inservibles al usuario. Al mismo tiempo los hosts infectados empiezan a formar parte de una red bot, controlada a su vez por la red de enrutamiento de cebolla (TOR, por sus siglas en inglés).

 

El email atacante contiene solo un documento adjunto

Hornetsecurity recomienda tomar las siguientes medidas de protección ante un ataque: empresas y personas que todavía utilizan el sistema operativo Windows XP, deben poner en uso el patch creado por Microsoft y actualizar el sistema. Incluso mejor, es la adopción de nuevos sistemas operativos con actualizaciones de seguridad activadas (al menos MS17-010). Añadido a esto, las empresas deben ajustar su Firewall de manera tal que el tráfico SMB que ingrese a través del puerto 445, así como el tráfico TOR saliente de la red corporativa, sea bloqueado. En términos generales, los expertos en seguridad de Hornetsecurity recomiendan examinar minuciosamente correos electrónicos contentivos de facturas y antes de abrirlos, verificar al menos con un escáner de virus las posibles vinculaciones con archivos de Office, Skript o ficheros ejecutables (archivo portable ejecutable, PE). Gracias al escaneo y reescritura de URL, el ATP de Hornetsecurity como protección integral ante nuevos tipos de amenazas, realiza un análisis profundo de los URLs contenidos en los correos electrónicos.