¿Qué fue el ataque del ransomware WannaCry?

¿Qué fue el ataque del ransomware WannaCry?

El ataque del ransomware* WannaCry fue un importante incidente de seguridad que afectó a organizaciones de todo el mundo. El 12 de mayo de 2017, el gusano ransomware WannaCry se extendió por más de 200 000 ordenadores en más de 150 países. Entre las víctimas más destacadas se incluyen FedEx, Honda, Nissan y el Servicio Nacional de Salud del Reino Unido (NHS), que se vio obligado a desviar algunas de sus ambulancias a otros hospitales.

A las pocas horas del ataque, WannaCry fue neutralizado de forma temporal. Un investigador especialista en seguridad descubrió un "interruptor de apagado" que básicamente desactivaba el malware. Sin embargo, muchos ordenadores afectados siguieron encriptados e inutilizables hasta que las víctimas pagaron el rescate o pudieron revertir la encriptación.

WannaCry se propagó al aprovechar una vulnerabilidad llamada "EternalBlue." La Agencia de seguridad nacional de EE.UU. (NSA) había desarrollado esta explotación, se supone que para uso propio, pero un grupo conocido como Shadow Brokers la robó y la hizo pública después de que la propia NSA se viera en riesgo. EternalBlue solo funcionaba en versiones antiguas y sin parches de Microsoft Windows, pero había muchas máquinas que funcionaban todavía con dichas versiones, lo que permitió la rápida propagación de WannaCry.

*El ransomware es software malicioso que bloquea archivos y datos mediante encriptación, y los retiene para pedir un rescate.

¿Qué es un gusano?

En el ámbito de la seguridad, un gusano es un programa de software malicioso que se propaga automáticamente a varios ordenadores de una red. Un gusano aprovecha las vulnerabilidades del sistema operativo para saltar de un ordenador a otro, e instala copias de sí mismo en cada ordenador.

Pensemos que un gusano es como un ladrón que se pasea por un edificio de oficinas en busca de puertas sin cerrar. Una vez que el ladrón encuentra una, imaginemos que puede crear un duplicado de sí mismo que se queda dentro dentro de la oficina sin cerrar, y ambas versiones continúan a su vez buscando puertas sin cerrar.

La mayoría de los gusanos no contienen ransomware. El ransomware suele propagarse a través de correos electrónicos maliciosos, credenciales en riesgo, redes de bots o explotaciones de vulnerabilidades muy específicas (Ryuk es un ejemplo de lo último). WannaCry fue único en el sentido de que no solo combinó un ransomware con un gusano, sino que también aprovechó una vulnerabilidad especialmente potente que permitía el uso de gusanos que había sido creada por la NSA.

¿Quiénes son los Shadow Brokers?

Los Shadow Brokers son un grupo de atacantes que empezaron a filtrar herramientas de malware y vulnerabilidades de día cero al público en 2016. Se sospecha que se hicieron con una serie de vulnerabilidades desarrolladas por la NSA, posiblemente debido a un ataque interno en la agencia. El 14 de abril de 2017, Shadow Brokers filtró la vulnerabilidad EternalBlue que acabaría utilizando WannaCry.

Microsoft publicó un parche para EternalBlue el 14 de marzo, un mes antes de que lo filtraran los Shadow Brokers, pero muchos ordenadores seguían sin parchear en el momento del ataque de WannaCry.

¿Quién fue el responsable del ataque del ransomware WannaCry?

A finales de 2017, Estados Unidos y el Reino Unido anunciaron que el gobierno de Corea del Norte estaba detrás del ataque de WannaCry. Sin embargo, algunos investigadores de seguridad dudan de esta atribución. Algunos sostienen que WannaCry puede haber sido obra del Grupo Lazarus, con sede en Corea del Norte, y que no procede directamente del gobierno de ese país. Otros sugieren que las pistas de la autoría del malware pueden haberse colocado allí para culpar a los atacantes que tienen sede en Corea del Norte, y que WannaCry puede proceder de cualquier otra región.

¿Cómo se detuvo el ataque de WannaCry?

El día del ataque, Marcus Hutchins, un bloguero e investigador de seguridad, comenzó a realizar la ingeniería inversa del código fuente de WannaCry. Descubrió que WannaCry incluía una función inusual: antes de ejecutarse, realizaba una consulta del dominio iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Este sitio web no existía.

Así que registró el dominio. (Le costó 10,69 $.)

Después de que Hutchins hiciera esto, las copias de WannaCry siguieron propagándose, pero dejaron de ejecutarse. Básicamente, WannaCry dejó de funcionar por sí mismo una vez que empezó a recibir una respuesta de iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

¿Por qué se detuvo el ataque?

Aunque no se pueden saber con certeza las motivaciones de los autores de WannaCry, se tiene la teoría de que esta función de consulta de dominio se incluyó en WannaCry para que el ransomware pudiera comprobar si estaba dentro de un espacio seguro.

Un espacio seguro es una herramienta antimalware. Es una máquina virtual que se ejecuta por separado del resto de sistemas y redes. Ofrecen un entorno seguro para ejecutar archivos no fiables y ver lo que hacen.

Una espacio seguro no está realmente conectado a Internet. Pero los entornos seguros intentan imitar todo lo que pueden a un ordenador real, por lo que pueden generar una respuesta falsa a una consulta dirigida a un dominio determinado por el malware. Como resultado, una forma en la que el malware podría comprobar si está dentro de un espacio seguro es mediante el envío de una consulta a un dominio falso. Si obtiene una respuesta "real" (generada por el espacio seguro), puede asumir que está en un espacio seguro, y se apaga para que el espacio seguro no lo detecte como malicioso.

No obstante, si el malware envía su consulta de prueba a un dominio con código duro, si alguien registra el dominio, se le puede engañar para que piense que está siempre en un espacio seguro. Quizá ocurrió esto con WannaCry: se engañó a las copias de WannaCry en todo el mundo al hacerles creer que estaban en un espacio seguro, y se desactivaron. (Un mejor diseño, desde el punto de vista del autor del malware, sería consultar un dominio aleatorio que fuera diferente cada vez; de ese modo, las probabilidades de obtener una respuesta del dominio fuera de un espacio seguro serían casi nulas).

Otra posible explicación es que la copia de WannaCry que se propagó por el mundo estuviera sin terminar. Puede que los autores de WannaCry hayan utilizado código duro en ese dominio como un marcador, con la intención de sustituirlo por la dirección de su servidor de comando y control (C&C) antes de soltar el gusano. O puede que ellos mismos hayan querido registrar iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. (Quizá el filtrado de DNS o el filtrado de URL podrían haber detenido las consultas a ese dominio, pero la mayoría de las organizaciones no habrían podido implementar esta medida de seguridad a tiempo).

Independientemente del motivo, fue una suerte que una acción tan sencilla pudiera salvar a los ordenadores y redes de todo el mundo de más infecciones.

¿Qué pasó con Marcus Hutchins?

Resultó que antes de que Hutchins empezara a trabajar y a escribir en su blog como investigador de seguridad, había pasado años frecuentando foros de malware en la web oscura, desarrollando y vendiendo su propio malware. Unos meses después del incidente de WannaCry, el FBI lo detuvo en Las Vegas (Nevada), por ser el autor de Kronos, una variedad de malware bancario.

¿Es WannaCry una amenaza en la actualidad?

La versión de WannaCry que se difundió en 2017 ya no funciona, gracias al dominio del botón de apagado de Hutchins. Además, hay un parche disponible para la vulnerabilidad EternalBlue de la que WannaCry llevaba aprovechándose desde marzo de 2017.

Sin embargo, se siguen produciendo ataques de WannaCry. En marzo de 2021, WannaCry seguían aprovechándose de la vulnerabilidad EternalBlue, lo que significa que solo los sistemas Windows extremadamente antiguos y desactualizados estaban en peligro. Las versiones más recientes de WannaCry han eliminado la función del botón de apagado que había en la versión original. Se recomienda encarecidamente que se actualicen los sistemas operativos y se instalen actualizaciones de seguridad inmediatamente.

Aunque la versión original de WannaCry ya no está activa, se pueden aprender varias lecciones importantes del ataque de mayo de 2017:

1. Las redes de todo el mundo están extremadamente interconectadas. Esto puede resultar obvio en la era de Internet, pero muchas organizaciones siguen asumiendo que sus redes no pueden ser penetradas desde el exterior (como un castillo con un foso). WannaCry demostró que, a menos que una red esté blindada, lo que significa que está completamente separada de todas las conexiones exteriores, es probable que las amenazas externas puedan entrar.
2. Incluso las vulnerabilidades que hayan sido parcheadas pueden ser peligrosas. Un parche de vulnerabilidad solo es tan eficaz como el número de sistemas que lo apliquen. El parche EternalBlue estaba disponible casi dos meses antes del ataque WannaCry, pero parece que pocas organizaciones lo habían instalado. (Incluso en 2021 había algunas organizaciones que todavía no lo habían instalado).
3. Muchas organizaciones fundamentales son vulnerables a los ciberataques. Esto sigue siendo así; los ataques de ransomware han afectado a hospitales, escuelas, oleoductos y gobiernos en los últimos años. De hecho, parece que grupos de ransomware como Ryuk tienen como objetivo a este tipo de organizaciones. En algunos casos, puede que las organizaciones no cuenten con la financiación, los recursos o el compromiso con las actualizaciones tecnológicas que necesitan para hacer frente a los ataques. Particularmente, el NHS se enfrentó al escrutinio público por seguir utilizando Windows XP, un sistema operativo muy vulnerable al que Microsoft dejó de dar soporte tras el ataque.
4. El ransomware es una amenaza importante. Cloudflare One es una plataforma de Zero Trust que puede ayudar a las organizaciones a combatir esta amenaza. Un enfoque de seguridad Zero Trust asume que todos los usuarios y dispositivos presentan amenazas. Vuelve a autenticar periódicamente a los usuarios y evalúa la seguridad de los dispositivos, lo cual garantiza que a cualquier dispositivo inseguro o no autorizado se le revoque inmediatamente el acceso a las aplicaciones y a la red. Esto ayuda a prevenir la propagación del ransomware.

Más información sobre otras variedades de ransomware:

• Ransomware Ryuk
• Ransomware Maze
• El ransomware Petya y NotPetya