El último viernes 12 de mayo: un enorme ciberataque ha golpeado sistemas informáticos en decenas de países y empresas. El virus conocido como “ransomware”.

Ciberataques a diferentes países.

La mayor parte de las empresas no están preparadas para ciberataques. Sus estructuras tienen agujeros, que facilitan puntos de ataque y no cuentan con planes de contingencia.

En el sistema sanitario del Reino Unido (NHS) el ataque ha afectado a ordenadores y teléfonos móviles de 12 hospitales y centros de salud de Londres, Nottingham, Herefordshire, Blackburn y Cumbria. El ataque ha obligado a apagar los ordenadores y a cancelar citas.

Ransomware

Es un programa malicioso (malware) que bloquea los ordenadores personales y dispositivos móviles-tabletas, teléfono- o cifra los archivos de los equipos infectados para impedir el acceso al usuario.

Top de familias Ransomware de Diciembre de 2015 a Mayo del 2016

Los ciberdelincuentes envían un mensaje donde piden una cantidad de dinero para desbloquear el equipo y recuperar los datos. Este bloque no supone fuga de datos.

El programa se transmite como un troyano o como un gusano, infectando el sistema operativo.

A través de:

• Un correo electrónico que remite a un enlace de una página de internet
• Descargando un fichero adjunto
• Navegando por la red
• Bajando programas como Windows o Adobe Flash
• Videos de páginas de dudoso origen

WannaCry

Es un sansomware “activo” que ha aparecido el 12 de mayo de 2017, provocó el cifrado de datos en más de 75 mil ordenadores, se ha expandido por Estados Unidos, China, Rusia, Italia, Taiwan, Reino Unido y España.

Los sistemas operativos más vulnerables:

• Windows Vista
• Windows 7
• Window Server 2012
• Windows 8.1
• Windows 10
• Windows Server 2016

Bitcoins

Criptomonedas: Dash, Zerocoin o Cloakcoin tienen servicios de mixing (mezclar unos fondos con otros), se juntan las transacciones en un pool en el que se pierde el rastreo.

Programas anti-APP o sandbouxing

Los programas tradicionales no son suficientes. Los mejores son los programas de anti APP o sandbouxing, que rastrean el comportamiento del sistema o de la red de información, identificando cualquier software malicioso y lo eliminan.

Desmotando el Ciberataque del viernes 12

Warren Mercer un líder de seguridad técnica de Cisco, investigador de seguridad, en el Reino Unido, encontró que el interruptor fue codificado en el ransomware: “en caso de que el propagador quisiera detener su propagación”. Esto se hizo a través de un nombre de dominio muy largo que el malware tuvo que conectarse. Si la conexión es correcta y muestra un dominio en vivo, el “kill switch” funciona, se apaga inmediatamente y se detiene la propagación del ransomware.

Microsoft descubrió esta vulnerabilidad en el boletín de seguridad MS17-010, y los ingenieros añadieron este viernes “detección y protección contra el nuevo software malicioso”:

Ransom.Win32.WannaCrypt

 

Bibliografía:

• Microsoft
• Cyberwar.Kaspersky.com

Links relacionados:

• “Ciberataque” Universidad Loyola Andalucía

https://www.youtube.com/watch?v=W0GJx26Ywic

• “Ransomware” Power Director

https://www.youtube.com/watch?v=StinIMYEq7c

• “Mapa ciberataques tiempo real” Cyberwar.Kaspersky.com

https://www.google.es/url?url=https://cybermap.kaspersky.com/&rct=j&frm=1&q=&esrc=s&sa=U&ved=0ahUKEwixxLbQt_LTAhVHVhoKHQICDEYQFggUMAA&sig2=llWn70ovCKpTMHo5vmNftA&usg=AFQjCNEgheWfyimN_RrE0xqYB5ejli81PA