Ataque con Ransomware que infectó Windows a escala mundial fue robado a la NSA : Argentina Indymedia (( i ))
CMIargentina.indymedia.org Dijimos Nunca Más. ¿Donde está Julio López?
Quienes somos Contacto Subscripciones Calendario Donaciones Publicar
en negroen blancoen rojoayuda temas

Translate this page using Google:


Sindicacion
Sindicacion


New Global Vision
versión para imprimir - envía este articulo por e-mail

Ataque con Ransomware que infectó Windows a escala mundial fue robado a la NSA
Por David Sarabia / eldiario.es - Tuesday, May. 16, 2017 at 9:29 PM

Sábado 13 de mayo de 2017

- Un investigador británico se dio cuenta de que comprando un dominio de Internet, el malware dejaba de extenderse

- WCry está incluido en un paquete que unos hackers robaron a la NSA estadounidense en agosto del año pasado

- El ransomware se aprovecha de una vulnerabilidad de varias versiones del sistema operativo Windows, desde Windows 2000 hasta Server 2012, pasando por Windows XP, 7 y 8

Ya son cerca de 179 países afectados por el ransomware WannaCry (WCry), que el viernes infectó las oficinas centrales de Telefónica en Madrid, los hospitales de la NHS (el sistema de seguridad social británico) e incluso el ministerio de Interior ruso, la banca o los transportes. China confirma que ha sido atacada, como la empresa de paquetería FedEx en sus oficinas de Reino Unido. Además, algunas estaciones de tren en Alemania también se han visto afectadas por el ataque. Deutsche Bahn, la compañía nacional de transportes alemana, ha confirmado que "debido a un troyano, existen fallos del sistema en varios lugares".

WCry se ha distribuido por correo. Al infectar un equipo, el ransomware escaneaba el resto de equipos de la red a los que estaba conectado el ordenador, propagando la infección. El malware ha aprovechado una vulnerabilidad de Windows, desde el 7 hasta el 10, pasando por Vista, XP, RT y Server (2008, 2012 y 2016). Entra a través de los puertos 137, 138 UDP y 139, 445 TCP. O lo que es lo mismo, a través del protocolo SMB (Server Message Block - Servidor de bloque de mensajes), que sirve para compartir archivos, equipos, impresoras y demás dispositivos en una red de área local (LAN). Este tipo de redes son las que usan todas las empresas para trabajar internamente.

Un investigador de ciberseguridad británico de 22 años ha sido nombrado por las redes sociales como el "héroe anónimo" que ha conseguido detener la amenaza de WCry. @Malwaretechblog en Twitter, con la ayuda de Darien Huss, de la firma Proofpoint, han encontrado un "botón rojo" en el ransomware que lo detiene. Esta línea de código fue incluida por el creador de WCry. Se trata de una dirección web no registrada a la que el malware realizaba una petición, una .com con letras y números muy larga, casi críptica, y que terminaba en "gwea.com".

Si WCry no obtiene respuesta de esa web, se expande. Si se activa, se detiene. Por eso el investigador compró el dominio por unos 10 euros. "Vi que no estaba registrado y pensé, 'ya lo tengo'", ha dicho el investigador de 22 años  a The Daily Beast. Al comprar el dominio, comprobó que este registraba cientos de peticiones por segundo. Esto era WCry infectando cientos de ordenadores en todo el mundo.

Una herramienta de la NSA

Chema Alonso, director digital de Telefónica, resta importancia al ataque en su blog personal, donde explica que "esta crisis ha sido más mediática en las redes sociales que en la realidad interna de Telefónica, donde los equipos infectados están controlados y están siendo restaurados". Además, asegura que la amenaza le pilló de vacaciones "pues como todo buen trabajador había solicitado desde hacía más de un mes, una semana de vacaciones que tenía marcada a fuego para comenzar antes de ayer jueves".

Turquía, Portugal, Rusia, China, México, Chile, España y así una larga lista de países que se han visto afectados por el ransomware WCry. Es un software malicioso incluido en ETERNALBLUE, un paquete de herramientas que salió a la venta en la Deep web en abril. Dentro de ese paquete hay más herramientas que pertenecen a Equation Group, un grupo de hackers vinculado a la NSA. En agosto del año pasado otros hackers, The Shadow Brokers, les robaron y se hicieron con un arsenal de exploits, virus, troyanos y demás aplicaciones utilizadas habitualmente por la agencia de espionaje estadounidense.

En diciembre, The Shadow Brokers ya pusieron a la venta en la Deep web un primer paquete de herramientas. Hace poco publicaron la segunda parte, enteramente relacionada con exploits para Windows, desde Windows 2000 hasta Server 2012, pasando por Windows 7 y 8. No pusieron precio al pack, sino que abrieron una puja hasta que el mayor postor se hiciese con ella.

Aunque el pasado marzo Microsoft parcheó la vulnerabilidad, ha habido empresas a las que no le ha dado tiempo a instalar la nueva actualización o que directamente no lo han hecho. Este ataque ha sido más importante que Mirai, la botnet que en octubre apagó Twitter, Facebook, Netflix o Spotify. Suma muchos más ataques en el mundo, según el mapa actualizado en tiempo real de MalwareInt.

La amenaza de WCry se disipa, aunque lentamente. Los equipos que el viernes no estaban actualizados ya lo están, y los que han sido infectados están siendo tratados por los equipos de ciberseguridad de las empresas. El ransomware pedía 300 dólares en bitcoin (0,1675 btc) para liberar los archivos antes de dos días, pero como se puede comprobar en la blockchain, hasta el momento, de las tres direcciones que disponía WCry para pagar ( dirección 1, dirección 2, dirección 3) pocos han sido quienes lo han hecho. A las 13 horas del sábado, WCry apenas suma 50 pagos. Ahora mismo, los hackers tienen en su poder unos 15.000 dólares, una cantidad relativamente pequeña si se compara con el revuelo mundial que han provocado.

agrega un comentario


CMI Network: www.indymedia.org Africa: ambazonia canarias estrecho kenya nigeria áfrica del sur Canada: london, ontario maritimes montreal ontario ottawa quebec thunder bay vancouver victoria windsor Asia del Este: burma jakarta japón korea manila qc saint-petersburg Europa: abruzzo alacant andorra anveres armenia atenas austria barcelona belarus bélgica belgrado bristol brussels bulgaria calabria croacia chipre emilia-romagna estrecho euskal herria galiza alemania grenoble hungría irlanda estanbul italia la plana liege liguria lille linksunten lombardia londres madrid malta marseille nantes napoli holanda niza northern england noruega nottingham oost-vlaanderen c.m.i. indymedia paris/Île-de-france patras piemonte polonia portugal roma romania rusia cerdeña escocia suecia suiza torun toscana toulouse ukraine gran bretaña valencia America Latina: argentina bolivia chiapas chile chile sur brasil sucre colombia ecuador méxico peru puerto rico qollasuyu rosario santiago tijuana uruguay valparaiso venezuela Oceania: aotearoa brisbane burma darwin jakarta manila melbourne perth qc sydney Asia del Sur: india mumbai Estados Unidos: arizona arkansas asheville atlanta austin austin baltimore big muddy binghamton boston bufalo charlottesville chicago cleveland colorado columbus washington, dc hawaii houston ny capital ciudad de kansas los ángeles madison maine miami michigan milwaukee minneapolis/st. paul new hampshire nueva jersey nuevo méxico nueva orleans north carolina north texas nyc oklahoma filadelfia pittsburgh portland richmond rochester rogue valley st louis san diego san francisco bahía de san francisco santa barbara santa cruz, ca sarasota seattle tampa bay tennessee urbana-champaign vermont western mass worcester Asia del Oeste: armenia beirut israel palestina proceso: fbi/legal al día listas de correo documentación técnico voluntarios proyectos: impresos radio tv satelital video regiones: estados unidos temas: biotech

Copyleft © 2001-2014 Argentina Centro de Medios Independientes (( i )). Copyleft: Se permite la copia, distribución y uso de los contenidos de Indymedia Argentina, siempre y cuando NO se utilice con fines comerciales, a no ser que se obtenga permiso expreso del autor y en todos los casos se reconozca la autoría (poniendo como fuente https://argentina.indymedia.org ). Las opiniones o artículos vertidos por lxs visitantes o colaboradorxs en el sitio pueden no reflejar las ideas de Indymedia Argentina. Usamos software libre. sf-active v0.9.4 Descargo | Privacidad