A diferencia de la mayoría de los ransomware que hemos visto en los últimos 30 años WannaCry era un virus informático , o más precisamente un gusano que se propaga por sí mismo, lo que significa que se replicó por sí mismo, encontrando nuevas víctimas, rompiendo y se inicia en la siguiente computadora automáticamente
WannaCry irrumpió a través de Internet, saltando de red en red y de compañía en compañía utilizando un exploit , un error de seguridad en Windows que permitió que el virus se abriera paso sin necesidad de un nombre de usuario o una contraseña.
Y no cualquier hazaña: WannaCry usó un ataque llamado ETERNALBLUE que supuestamente fue robado de la Agencia de Seguridad Nacional de EE. UU. Por un equipo de piratas informáticos conocido como Shadow Brokers .
La buena noticia es que, incluso en el momento en que WannaCry irrumpió en Internet, estaba disponible un parche para arreglar el agujero de seguridad de ETERNALBLUE, emitido dos meses antes por Microsoft como parte de la actualización del martes de parches de marzo de 2017.
Si había parcheado en los últimos dos meses, era en gran medida inmune a WannaCry y, por lo tanto, podía retirarse de la alerta roja.
Incluso si detectó ataques a la red provenientes de víctimas existentes, sin parches e infectadas, esas sondas de ETERNALBLUE se habrían recuperado inofensivamente de sus dispositivos actualizados.
Por supuesto, no todos habían parcheado dentro de ese período de dos meses, por lo que el malware se extendió rápidamente y exigió $ 300 por computadora infectada de algo así como 200,000 víctimas en poco tiempo.
WannaCry no morirá
No todos han parcheado incluso ahora, más de dos años después, y WannaCry no solo sigue vivo (e ignora el interruptor de matar que fue diseñado para detenerlo), sino posiblemente más vivo que nunca .
Los expertos de Sophos Peter Mackenzie, Fraser Howard y Anton Kalinin acaban de publicar un artículo de lectura obligatoria que le dirá por qué y cómo.
Afortunadamente, aunque todavía estamos viendo grandes cantidades de actividad de WannaCry, no estamos viendo que muchas personas obtengan sus datos revueltos.
Y debido a que las personas infectadas no se ven afectadas de manera visible por el cifrado no deseado y las demandas de rescate, no se dan cuenta de que lo están utilizando para difundir copias de él.
Pero, ¿cómo puede un virus destructivo de más de dos años de edad, uno que fue parcheado incluso antes de que apareciera, continuar propagándose como loco?
¿Y cómo es que todavía está vivo pero ya no llama la atención al dejar un mar de archivos revueltos y demandas de rescate a su paso?
Más importante aún, ¿qué podemos hacer para detenerlo ahora?
Los datos que analizan nuestros expertos en su informe son fascinantes:
- Se encontraron más de 12,000 variantes de WannaCry en la naturaleza , dos años después de que supuestamente el malware fue conquistado definitivamente.
- Más de 5,000,000 intentos de ataques contra computadoras sin parches fueron bloqueados en los últimos tres meses de 2018, y esos son solo aquellos donde se instaló Sophos Endpoint Security y nos informaron.
- Más del 97% de las computadoras no atacadas bajo ataque ejecutaban Windows 7 , por lo que esta no es solo una historia sobre dispositivos Windows XP olvidados.
- Algunas personas realmente pagaron el rescate a pesar de que no tiene sentido hacerlo. Los delincuentes detrás de las direcciones relevantes de Bitcoin no están monitoreando pagos o proporcionando herramientas de descifrado.