Decenas de miles de ataques de ransomware tienen como blanco organizaciones de todo el mundo este viernes.
La firma de seguridad Kaspersky Lab ha registrado más de 45.000 ataques en 74 países en las últimas 10 horas. La mayoría de los ataques se han dirigido a Rusia.
¿Qué es?
El ransomware, llamado “WannaCry”, bloquea todos los archivos de un ordenador infectado y pide al administrador de la computadora que pague para recuperar el control de los mismos. Los investigadores dicen que se está extendiendo a través de un exploit de Microsoft Windows llamado “EternalBlue”, para el que Microsoft lanzó un patch (parche) para en marzo. Un grupo de hacking filtró el exploit en un trove de otras herramientas de espionaje de la Agencia de Seguridad Nacional de EE.UU. (NSA) el mes pasado.
“Las máquinas afectadas tienen seis horas para pagar y cada pocas horas el monto de extorsión aumenta”, dijo Kurt Baumgartner, el principal investigador de seguridad de Kaspersky Lab. “La mayoría de las personas que han pagado parecen haber pagado los 300 iniciales en las primeras horas”.
Dieciséis organizaciones del Servicio Nacional de Salud (NHS) en el Reino Unido han sido afectadas, y algunos de esos hospitales han cancelado las citas con pacientes ambulatorios y les dijeron a la gente que evitara departamentos de emergencia si es posible. La compañía española de telecomunicaciones Telefónica también fue golpeada con el ransomware.
Las autoridades españolas confirmaron que el ransomware se está propagando a través de la vulnerabilidad de EternalBlue y han aconsejado a las personas que aplicar el patch.
“Se va a extender a lo largo y ancho dentro de los sistemas internos de las organizaciones; esto se está convirtiendo en el mayor incidente de ciberseguridad que he visto”, dijo el arquitecto de seguridad británico Kevin Beaumont.
Kaspersky Lab dice que aunque el ransomware de WannaCry puede infectar las computadoras incluso sin la vulnerabilidad, EternalBlue es “el factor más significativo” en el brote global.
Cómo prevenirlo
Beaumont examinó una muestra del ransomware usado para afectar al NHS y confirmó que era el mismo utilizado contra Telefónica. Dijo que las compañías pueden aplicar el patch lanzado en marzo a todos los sistemas para prevenir infecciones de WannaCry. Aunque no servirá en nada para las máquinas que ya han sido afectadas.
El experto dijo que es probable que el ransomware se extenderá a las empresas de EE.UU. también. El ransomware escanea automáticamente los equipos que puede infectar cada vez que se carga en una nueva máquina. Puede infectar otros equipos en la misma red inalámbrica.
“Tiene un módulo ‘hunter’, que busca computadoras en redes internas”, dijo Beaumont. “Así que, por ejemplo, si su computadora portátil está infectada y usted fue a una cafetería, se extendería a las computadoras en la cafetería, de ahí a otras compañías”.
Según Matthew Hickey, fundador de la empresa de seguridad Hacker House, el ataque del viernes no es sorprendente, y muestra que muchas organizaciones no aplican actualizaciones de manera oportuna. Cuando CNNTech informó por primera vez que las vulnerabilidades de Microsoft se filtraron en abril, Hickey dijo que eran las “más perjudiciales” que había visto en varios años, y advirtió que las empresas estarían en mayor riesgo.
Los consumidores que cuentan con software actualizado están protegidos de este ransomware. En este enlace se muestra cómo activar las actualizaciones automáticas.
No es la primera vez que los hackers han utilizado las herramientas filtradas de la NSA para infectar computadoras. Poco después de la filtración, los hackers infectaron miles de máquinas vulnerables con una puerta trasera llamada DOUBLEPULSAR.
Fuente: CNN