Wanna Decryptor: así funciona el ransomware que se ha usado en el ciberataque a Telefónica

mayo 12, 2017
DISANAR

Ransom2

Telefónica está sufriendo uno de los ciberataques más importantes de su historia reciente, y las informaciones que se están recibiendo apuntan a un ransomware llamado Wanna Decryptor que «secuestra» los datos de los ordenadores infectados cifrándolos. Los trabajadores de Telefónica no podrían recuperar el acceso a ellos hasta pagar una recompensa económica a los anónimos responsables del ataque.

Eso ha hecho que en la sede de la compañía salten las alarmas, y diversas fuentes han indicado que se está siguiendo un protocolo de emergencia que ha hecho que tanto trabajadores de sus oficinas como externos que tengan acceso a la intranet apaguen sus ordenadores de manera inmediata. El peligro parece real e importante. ¿Cómo ha podido ocurrir esto, y qué hacer para solucionarlo?

Cómo actúa el ransomware

El ransomware es un tipo de malware informático que se instala de forma silenciosa en dispositivos móviles, y ordenadores de todo tipo, y que una vez se pone en acción cifra o encripta todos los datos para bloquear el acceso a ellos sin la contraseña que permite descifrarlos.

Telef Los responsables de Telefónica han difundido este mensaje a los usuarios de su Intranet para que dejen de usar el ordenador de forma inmediata.

El mecanismo de acceso del malware a los ordenadores afectados es variado, pero sobre todo se suele infectar a la víctima a través de correos con spam: recibos o facturas falsas, ofertas de trabajo, advertencias de seguridad o avisos de correos no entregados, etc.

Si la víctima abre el fichero ZIP que normalmente se adjunta en dichos correos, se activa un JavaScript malicioso que hace que se instale el malware para que el ciberatacante lo active cuando lo considere oportuno.

Ese tipo de ataque puede activarse también a través de exploits que aprovechen vulnerabilidades de todo tipo. Los últimos datos del ciberataque sufrido por Telefónica parecen apuntar a equipos con Windows, y justo esta semana Microsoft publicaba un parche para una vulnerabilidad crítica «zero-day» que había descubierto recientemente y que era especialmente peligrosa.

O pagas, o te olvidas de tus datos (más o menos)

Para lograr la contraseña los responsables de este tipo de ciberataque piden un rescate que a menudo es económico. Como se ve en la imagen, lo que ven los usuarios afectados suele ser una pantalla informativa en la que se pide una cantidad de dinero (en este caso, 300 dólares en bitcoin) que se deben pagar en un plazo establecido, o de lo contrario esos datos quedarán bloqueados para siempre.

Ransomware Esto es lo que están viendo en sus pantallas actualmente los afectados por este ransomware

Los afectados por el ciberataque tienen pocas opciones, y de hecho muchos se plantean pagar directamente esas cantidades ya que la recuperación de los datos suele ser muy difícil en caso contrario.

Incluso pagando, avisan los expertos en seguridad, las garantías de que el atacante ofrezca la clave de cifrado no son totales, algo que nos deja aún más vulnerables. Aquí lo ideal es, como apuntan empresas de seguridad como Kaspersky, es contar con copias de seguridad: los backups nos pueden salvar de estas situaciones, sobre todo si la empresa sigue una política adecuada con actualizaciones frecuentes de esas copias. Eso permitiría a los afectados recuperar los datos (o la gran mayoría de ellos) a partir de esos backups y poder obviar la amenaza.

En Telefónica ya están trabajando para tratar de resolver el problema y Chema Alonso, CSO de la empresa, emitía un pequeño comunicado a través de Twitter para indicar que la situación está ahora mismo afectando además a otras empresas.

El problema, eso sí, no afecta a consumidores o clientes de Movistar, cuyo acceso a los servicios de voz y datos proporcionados por la compañía siguen funcionando con normalidad.

Wanna Decryptor, un ransomware que se propaga a través de la red

Las capturas que han ido apareciendo en los últimos momentos apuntaban a que el ransomware utilizado en este ciberataque ha sido Wanna Decryptor (Wcry), un conocido malware que cifra datos a través del algoritmo AES para luego plantear ese rescate. La CCN-CERT confirma que en efecto este ransomware es el utilizado en este ciberataque.

Ransom1

Como explicaban en MySpybot, uno de los problemas de obtener la clave para descifrar los datos es que no está en el ordenador local, sino almacenada en la máquina desde la que se realiza el ataque, lo que obliga a los usuarios a hacer el pago para poder recuperar el acceso a sus datos si no tienen algún tipo de backup para recuperar esos datos desde él.

Otro de los problemas adicionales que plantea este ransomware en concreto es que no solo afecta a los datos locales, sino que además se propaga por la red, cifrando los formatos de fichero más populares para acabar «destruyendo» el acceso a datos compartidos en una intranet sin que los usuarios puedan hacer mucho por evitarlo.

Imagen | KasperskyLab
En Xataka | Qué es el ransomware, cómo actúa y cómo prevenirlo

También te recomendamos


Así es el estado de excepción técnico para empleados de Telefónica y externos con acceso a su intranet


Un ciberataque deja fuera de juego la intranet de Telefónica en toda España


En Melbourne los árboles son una cuestión de Estado: sus habitantes pueden adoptar uno


La noticia

Wanna Decryptor: así funciona el ransomware que se ha usado en el ciberataque a Telefónica

fue publicada originalmente en

Xataka

por
Javier Pastor

.


XATAKA
Enlace: Wanna Decryptor: así funciona el ransomware que se ha usado en el ciberataque a Telefónica

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies