Un investigador británico llamado @MalwareTechBlog ha logrado frenar el ataque masivo de ransomware que infectó a hospitales, grandes empresas y gobiernos a nivel mundial. ¿Lo increíble? Fue un accidente y solo le costó $10.
Según informa The Guardian, @MalwareTechBlog encontró un kill switch, o una forma de detener el ransomware, llamado WannaCry, en el código que había creado el responsable del ataque para detener su propagación. Se trataba de un registro de dominio muy largo al que se conectaba el gusano. El ransomware “busca” al dominio como si estuviera buscando una página web. Si el ransomware intentaba conectarse y encontraba que el dominio estaba activado, dejaría de atacar y difundirse.
¿Qué hizo @MalwareTechBlog? Con la ayuda de Darren Huss, de la empresa de seguridad Proofpoint, el investigador decidió comprar el dominio por $10.69 en NameCheap.com. En cuanto el dominio estuvo registrado, recibió miles de conexiones por segundo. @MalwareTechBlog indicó en su Twitter que no sabía que la acción que le convirtió en un héroe frenaría el ataque.
Tengo que confesar que no sabía que registrar el dominio frenaría el malware hasta después de que lo registré, así que inicialmente era accidental.
Por lo tanto, solo puedo añadir “accidentalmente detuve un ataque cibernético internacional” a mi CV.
Lamentablemente, el kill switch que descubrió @MalwareTechBlog no ayudará a las organizaciones que ya están infectadas. The Guardian también nota que es posible que existan otras variantes del malware que no tengan el mismo killswitch. Esto significa que estas podrían seguir propagándose.
“Aunque lo detuvimos, hay un 100% de posibilidades que van a crear una nueva y empezar de nuevo”, le comentó @MalwareTechBlog a The Daily Beast. “Mientras que las personas no instalen los parches [de seguridad] esto va a continuar”.
En un momento, su servidor fue contactado por 78.000 ordenadores infectados por todo el mundo. @MalwareTechBlog está vigilando todas las infecciones en tiempo real. Sus datos indican que la tasa de infección está bajando.
WannaCry es un tipo de ransomware que infecta al ordenador cuando alguien abre un archivo y luego se extiende sin detectar a otros ordenadores en la red. Cuando se activa, cifra el contenido del disco duro del ordenador y pide un rescate de 300 dólares en bitcoins. Si alguien no hace caso a la amenaza, sube el precio del rescate. Según algunos medios, WannaCry fue desarrollado por la Agencia de Seguridad Nacional de Estados Unidos (NSA). Fue publicada en Internet en abril por un grupo de hackers.
El virus ha comprometido los sistemas de algunas de las empresas y instituciones más importantes del mundo. En Reino Unido, infectó a los hospitales del Servicio Nacional de Salud (NHS) y les obligó a desviar urgencias. Los trabajadores de los hospitales han optado por usar lápiz y papel para hacer el seguimiento de los pacientes ya que no tienen acceso a ordenadores.
WannaCry afecta a ordenadores que usan sistemas operativos Windows aprovechando un fallo del sistema. Microsoft informó al público sobre esta vulnerabilidad el 14 de marzo y lanzó un parche de seguridad para arreglarlo. Sin embargo, el virus afecta a sistemas obsoletos o los que no han sido actualizados.