Un dominio de 10 euros, el freno inesperado al ciberataque en EE UU

WannaCry-Virus-Informatico
WannaCry, virus informático.

El registro de un dominio detiene la propagación del virus que cifra los datos de los equipos infectados. Por eso fue posible encontrar el interruptor que detiene la propagación del virus que atacó Telefónica. Y por solo 10 euros.

Un dominio de 10 euros, el freno inesperado al ciberataque en EE UU

En medio de una situación desesperada, en la que cientos de miles de ataques ransomware contagiaron ordenadores en más de 70 países, un experto en análisis de malware que se hace llamar MalwareTech corrió para examinar el origen de WannaCry, se encontró con una manera de frenar su propagación. Con solo 10€, y también hay que decirlo, un poco de suerte.

WannaCry barrió Europa y Asia rápidamente, detuvo  los sistemas críticos de países como el Servicio de Salud Nacional del Reino Unido, una gran empresa de telecomunicaciones en España (ya conocemos el caso de Telefónica), y otros negocios e instituciones de todo el mundo, y todo ello en un tiempo récord. 

Una vez infectado, el ordenador de la víctima niega el acceso, y en su lugar muestra un mensaje que exige el equivalente de alrededor de 300€ en la criptomoneda Bitcoin.

Mientras que miles de personas han visto sus vidas afectadas, incluyendo un gran número de ellas que necesitan atención médica en el Reino Unido, dos cosas han ralentizado la propagación de WannaCry:

En primer lugar, Microsoft lanzó un parche de emergencia para Windows XP. La empresa no soporta esta versión de Windows oficialmente desde 2014. XP todavía se utiliza en muchos sistemas de antiguos sin recursos de seguridad para protegerse de la infección.

> El otro, sin embargo, ha sido gracias al feliz accidente de MalwareTech.

wannacry-infection-map-696x354

El mapa del ciberataque.

Interruptor de la muerte

Sucedió mientras trabajaba con ingeniería inversa sobre las muestras de WannaCry. MalwareTech descubrió que los programadores del ransomware habían desarrollado un código que comprobaba una determinada URL al propagarse. Algo curioso ya que el ransomware vendría de ese dominio, MalwareTech registrado este domino a su nombre. Y resulta que fue suficiente una inversión de 10€, para terminar todo el trabajo, por ahora, al menos.

Resulta que, siempre y cuando el dominio esté registrado e inactivo, la consulta no tiene efecto sobre la propagación del ransomware. Pero una vez que el ransomware comprueba la URL y lo encuentra activo, se detiene.

Existen teorías sobre las causas por las que los autores de WannaCry lo programaron de esta manera. 

Una posibilidad: la funcionalidad se puso en marcha como un interruptor de manera intencional, en caso de que los creadores quisieran frenar el monstruo que habían creado. 

MalwareTech teoriza que los hackers podrían haber incluido la función para proteger el ransomware del análisis realizado por profesionales de la seguridadEse tipo de estudios a menudo se llevan a cabo en un ambiente controlado llamado “caja de arena o sandbox”.

Los investigadores construyen algunos de estos entornos de software malicioso para engañarlo haciéndole creer que está consultando servidores externos, a pesar de que realmente está hablando con un grupo de direcciones IP ficticias. 

Como resultado, cualquier dirección que el malware intenta alcanzar obtiene una respuesta, incluso si el dominio real no está registrado.

Las defensas anti-análisis en el malware es algo común, pero los creadores de WannaCry parecen haber frustrado la aplicación. Al confiar en una dirección estática detectable, quien en este caso la encontró fue MalwareTech y pudo simplemente registrar el dominio y provocar el apagado de las defensas de WannaCry.

Una solución temporal

Esto no ayuda a los dispositivos WannaCry que ya han sido infectados y bloqueados. Sin embargo, mediante el registro del dominio y, a continuación, conseguir dirigir el tráfico a un entorno destinado a captar y contener el tráfico malicioso, conocido como un “sumidero” MalwareTech logró ganar tiempo para que los sistemas que no habían sido infectados puedan ser parcheados para lograr una protección a largo plazo, la mayor difusión y propagación ha sido en su mayoría en Europa y Asia desde el principio.

Con tantos analistas de seguridad trabajando en ingeniería inversa, cualquier otra persona podría haber encontrado el mecanismo tal como lo hizo MalwareTech. Sin embargo, cuando las infecciones se están extendiendo tan rápidamente como lo fueron este viernes, cada minuto cuenta.

El descubrimiento no equivale a una solución permanenteTodo lo que se necesitaría para conseguir comenzar de nuevo con su expansión sería una nueva cepa de WannaCry cuyo código no incluya este interruptor de apagado, o se base en un generador de URL más sofisticado en lugar de una dirección estática. 

Y el problema más fundamental es el de los dispositivos vulnerables, en particular los dispositivos de Windows XP y Windows 7, se mantiene. Sin embargo, el hallazgo de MalwareTech ayudó a revertir una mala situación y también a ahorrar una gran cantidad de Bitcoins a las personas en el proceso. ¿Tú qué opinas?

Un dominio de 10 euros, el freno inesperado al ciberataque en EE UU
Comentarios