Cuando Telefónica dio la voz de alarma al detectar el ransomware de WannaCry en los equipos de sus empleados, todas las miradas apuntaron al mismo sitio: ¿había sido un empleado el que había caído en la trampa de abrir un correo electrónico con phishing? ¿El ataque de WannaCry se había originado con un simple archivo adjunto infectado? De ser así, ¿por qué la infección afectó a más de 150 países? Malwarebytes cree tener la respuesta.
En lugar de apuntar hacia un error humano, desde el laboratorio de Malwarebytes han llegado a la conclusión de que, a falta de pruebas que demuestren lo contrario, el mayor ataque de ransomware de la historia no fue culpa de ningún usuario despistado. En lugar de eso, lo que hicieron los atacantes con el ransomware WannaCry fue lanzar a la red un sistema que analizaba los puertos de los dispositivos en busca de una vulnerabilidad; cuando el sistema detectaba que el puerto necesario para infectar la máquina estaba abierto, ahí es cuando se iniciaba el ataque.
La peculiaridad del ransomware de WannaCry, y lo que ha hecho que haya protagonizado titulares a lo largo y ancho de todo el mundo, reside en que en esta ocasión se ha tratado de un ataque que tenía la capacidad de propagarse entre todos los ordenadores conectados a una misma red local. Por ello, bastaba con que un ordenador se infectara para que todos los demás corrieran la misma suerte. Microsoft hace tiempo que lanzó la actualización de seguridad que solucionaba este agujero de seguridad, pero la triste realidad que ha sacado a la luz este ransomware es que muchos usuarios rara vez actualizan su PC a la última versión, y de ahí que hayan caído tantas víctimas en este ataque.
Tal y como señala la investigación llevada a cabo por Malwarebytes, los hackers que dieron vida a WannaCry se aprovecharon de dos agujeros de seguridad: primero, la vulnerabilidad de EternalBlue del propio sistema operativo Windows, pero para llegar hasta ella antes tenían que conseguir acceder al PC de sus víctimas… y ahí entra en juego el segundo agujero de seguridad: unos simples puertos abiertos en el router.
Para llegar hasta el PC de la primera víctima y a partir de ahí seguir distribuyéndose por todos los demás dispositivos de una misma red local, el ransomware WannaCry primero escaneaba enormes listados de puertos abiertos de los routers de todo el mundo. En cuanto detectaba que un router tenía el puerto 445 abierto, el virus ya sabía que esa conexión era vulnerable y era en ese momento cuando todos los PCs conectados a esa red quedaban inmediatamente infectados.
Por suerte, el ransomware de WannaCry fue detenido antes de que infectara a más víctimas, y con suerte la atención mediática que recibió este ataque habrá servido para concienciar a los usuarios de la importancia de tener el ordenador siempre actualizado a la última versión disponible. No hay que olvidar que ya hay nuevas variantes de este ransomware circulando por la red, por lo que no estaremos seguros hasta que no instalemos la última versión de Windows.
Fuente:https://computerhoy.com/noticias/internet/quien-desato-ransomware-wannacry-no-fue-error-humano-62638
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
