Tienda
0
Alojamiento web cloud Terrassa Sabadell

¿Que significa: 'WannaCry (2017)'?





















A B C D E F G H I J K L M N O P Q R S T U V W X Y Z LinuxHTML5Dominios

La imagen muestra un fondo azul con un texto centrado en letras blancas que muestra la palabra WannaCry (2017)

Última modificación: 2024-06-19

Historia de WannaCry

WannaCry, también denominado WannaCrypt, WanaCrypt0r 2.0, WCry, y Wana Decrypt0r, es un tipo de ransomware que se popularizó en mayo de 2017. Se cree que inicialmente fue desarrollado utilizando una herramienta de explotación de software filtrada por un grupo conocido como "The Shadow Brokers", que aparentemente obtuvo esta herramienta de la Agencia de Seguridad Nacional (NSA) de los Estados Unidos. La herramienta en cuestión es conocida como "EternalBlue" y explota una vulnerabilidad en el protocolo SMB (Server Message Block) de Microsoft Windows.

Línea Temporal de Eventos Clave

  • 14 de Marzo de 2017: Microsoft lanza un parche de seguridad (MS17-010) para corregir la vulnerabilidad en SMB, aunque muchos sistemas no fueron actualizados.
  • 12 de Mayo de 2017: Onset del ataque de ransomware WannaCry, que rápidamente se propaga a lo largo de diversas organizaciones alrededor del mundo.
  • 14 de Mayo de 2017: Un investigador de seguridad encuentra accidentalmente un “kill switch” en el código de WannaCry, que detiene su propagación.

Efectos de WannaCry

Impacto Global

WannaCry tuvo un impacto devastador a nivel global, afectando a más de 230,000 sistemas en más de 150 países. La rápida expansión del ransomware aprovechó la vulnerabilidad SMB no parcheada en sistemas Windows.

Afectación a Organizaciones

Diversas organizaciones de alto perfil fueron afectadas, incluyendo:

  • National Health Service (NHS) del Reino Unido: Se interrumpieron numerosos servicios hospitalarios, resultando en la cancelación de citas médicas y procedimientos quirúrgicos.
  • Empresas Corporativas: Organizaciones como FedEx, Nissan, y Renault experimentaron interrupciones sustanciales en sus operaciones.

Consecuencias Económicas

Las pérdidas económicas directas e indirectas resultantes se estimaron en miles de millones de dólares, tomando en cuenta tanto el costo del rescate (aunque muchos optaron por no pagar) como el costo de las interrupciones operacionales y las medidas de recuperación.

Mecanismo de Infección

Vector de Infección Inicial

WannaCry se propagó principalmente a través de la explotación de una vulnerabilidad en el protocolo SMB de Windows. El mecanismo utilizado fue la herramienta EternalBlue. Aquí está una descripción detallada del proceso de infección:

  1. Explotación de SMB mediante EternalBlue: WannaCry aprovechó una vulnerabilidad en SMBv1, específicamente la CVE-2017-0144, para obtener acceso a sistemas no parcheados a través de EternalBlue.

  2. Descarga y Ejecución de WannaCry:

    • Una vez que EternalBlue comprometía un sistema, el malware descargaba y ejecutaba la carga útil de WannaCry.
    • Esta carga útil cifraba los archivos del usuario, utilizando un cifrado asimétrico robusto (RSA) y cifrado simétrico (AES), haciendo prácticamente irrecuperables los datos sin la clave de desencriptación.

  3. Propagación en Red Local:

    • Después de infectar un sistema inicial, WannaCry utilizaba técnicas de escaneo de red para identificar otros sistemas vulnerables en la misma red y repetía el proceso de explotación y carga.

  4. Secuestro de Archivos:

    • La nota de rescate, solicitando pago en Bitcoins para recuperar los archivos cifrados, se presentaba al usuario afectado.
    • La solicitud era por una cantidad inicial, que aumentaba con el tiempo si no se realizaba el pago.

Medidas de Contención y Prevención Posteriores

Kill Switch: Un investigador de seguridad descubrió un nombre de dominio no registrado en el código de WannaCry. Registrando este dominio, el investigador pudo detener la propagación del ransomware, aunque versiones posteriores y variantes del malware superaron esta contención inicial.

Actualizaciones y Parches: Es crucial aplicar las actualizaciones de seguridad proporcionadas por los fabricantes de software. Microsoft lanzó parches adicionales incluso para versiones no soportadas de Windows para ayudar a contener WannaCry.

Medidas de Seguridad:

  • Segmentación de la Red: Implementar estrategias para segmentar la red para limitar la propagación de malware.
  • Desactivar SMBv1: Desactivar versiones antiguas del protocolo SMB que tienen vulnerabilidades conocidas.
  • Backup y Restauración: Mantener copias de seguridad regulares y fuera de línea para restaurar datos en caso de cifrado por ransomware.

Conclusión

WannaCry destacó la importancia crítica de mantener los sistemas actualizados con los parches de seguridad más recientes. A través de la explotación de vulnerabilidades, ransomware como WannaCry puede tener efectos devastadores no solo desde un punto de vista técnico, sino también financiero y operativo. La rápida respuesta y la colaboración a nivel internacional ayudaron a mitigar el impacto, pero el ataque sirvió como una significativa llamada de atención sobre la seguridad cibernética.



Colaboraciónes de nuestros usuarios

¿Tienes algo que agregar? ¡Déjanos tu colaboración!

Contribuye a mejorar esta definición.