Los creadores de WannaCrypt0r encontraron una vulnerabilidad con el código CVE-2017-0145 a.k.a. "EternalBlue" que permite a un programador enviar un paquete de datos diseñado especialmente para un servidor SMB y ejecutar un código dañado en el receptor. Los atacantes lograron instalar el troyano Backdoor "DoublePulsar", lo que permitio introducir el Ransomware WannaCrypt0r a la maquina comprometida y a otros equipos que estaban conectadas a el.
"El 16 de mayo BBC Mundo publico una noticia en la cual se habla que existió un ataque días antes a un banco en Perú en el cual no se utilizo WannaCrypt0r pero si se utilizaron EternalBlue y DoublePulsar (dejo enlace al final de la entrada en enlaces de interés)".
Los análisis previos sostienen que WannaCrypt0r usó la vulnerabilidad EternalBlue, desarrollada por la agencia de seguridad nacional estadounidense y filtrada por el grupo de Hackers The Shadow Brokers, que permite atacar a computadores con S.O Windows.
Dicha vulnerabilidad fue detectada en marzo en los S.O Windows.
La compañía Microsoft comenzo a distribuir parches de seguridad al día siguiente de de conocerse esta vulnerabilidad, en marzo de 2017, a través de Windows Update para las versiones posteriores a Windows Vista y como un parche separado para Windows 8, server 2003 y xp una vez desplegado este malware. Los computadores del mundo empresarial que no habían aplicado las actualizaciones de seguridad en marzo de 2017 que incluían la solución al problema MS17-010 en el S.O Windows quedaron gravemente afectados, con sus archivos codificados y apareciendo un mensaje en pantalla que exigía un rescate de 300 dolares en bitcoins a cambio de descodificar los archivos.
Se encuentra la solución:
El autor del blog MalwareTech estaba estudiando el virus cuando se dio cuenta de que el programa malicioso estaba conectándose a un dominio no registrado. El malware buscaba conectarse a este dominio, si no lo lograba infectaba el equipo, si lo lograba detenía la infección. Después que el experto registrara el dominio que se encontraba libre, el malware pudo conectarse al dominio y ceso sus ataques.
Consecuencias:
Este Ransomware logró comprometer millones de computadores en más de ciento cuarenta países, los mas afectados por el ataque fueron usuarios en Rusia, Ucrania, India, Gran Bretaña y Taiwan, también se deben considerar los ataques en equipos en diferentes países de sudamerica, esto principalmente debido a que en sudamerica existen muchos computadores en los cuales no se actualiza su S.O.
¿Es WannaCrypt0r una amenaza persistente?
Los investigadores en seguridad informática divulgaron que los autores del Ransomware WannaCrypt0r habían lanzado tres versiones, una después de la otra. La mayoría de los troyanos de cifrado no se actualizan la misma semana que se publican, pero WannaCrypt0r demuestra que un equipo determinado de Hackers puede distribuir actualizaciones y parches comparativamente rápido. Se ha visto usar los nombres WannaCry, WannaCrypt0r, WCrypt y WCRY.
El Rasomware WanaCryptor se comporta como el infame Ransomware Cerber 6 y escanea las unidades de almacenamiento de datos locales para los archivos disponibles. WanaCrypt0r procede a conectarse a un servidor "comando control" para reportar la infiltración y descargar un conjunto claves de cifrado privadas y una clave de cifrado publica. La amenaza esta diseñada para usar un cifrado AES-256 personalizado para corromper texto, imagenes, audio, vídeo, presentaciones, hojas de calculo y bases de datos almacenada en el dispositivo comprometido. Los objetos cifrados pueden incluir las siguientes extensiones:
- .WNCRY
- .WNCRYT
- .WRCY
Fuentes:
Wikipedia
Enigma Software (en Ingles)
Siglas:
S.O: Sistema operativo.
Enlaces de interés:
Noticia: El joven de 22 años que se hizo "héroe" al detener el virus que secuestró computadoras en unos 150 países - BBC Mundo
Página de MalwareTech (en Ingles)
Noticia: Ciberataque a banco peruano
