13 de mayo del 2017 - Un ransomware es un tipo de programa informático malintencionado, malware, hablando mal y pronto, cuyo nombre proviene de la palabra rescate (ransom en inglés) y ware, abreviación de software. Su «habilidad» es que impide el acceso a determinados archivos en el ordenador, primero encriptándolos y luego cambiando su extensión de, por ejemplo: Mapas.doc a Mapas.wanacry. Y se controla de forma remota. Contagiarse es, sin embargo, muy sencillo. El vehículo de infección más común es el correo electrónico. Según la empresa especializada en ciberseguridad Osterman Research, uno de cada tres víctimas se deben a abrir un enlace en un correo electrónico, un 28% por abrir un archivo adjunto y un cuarto de los infectados contraen el virus al visitar una página de poca seguridad.
El escenario es muy simple y basta apenas una dirección de correo. Si algún empleado compra algo por internet y en lugar de utilizar un correo personal recurre al de la compañía, al abrir un mensaje de respuesta, ya deja la puerta abierta. Y si luego envía otros mensajes desde esa misma cuenta a otros correos de la empresa, las puertas comienzan a abrirse y el control sobre la epidemia se pierde. El mayor problema es que estos virus se detectan cuando se pide el rescate, pero hasta que eso ocurra pueden estar activos, saltando de un ordenador a otro y secuestrando información hasta que consideran que ya tienen suficiente. Sólo en ese momento, avisan de su presencia. El uso de pen-drives, discos duros externos y hasta conectar el móvil directo al ordenador (para descargase música o cargar la batería) puede ser suficiente para darle vida al «ransomware».
El escenario es muy simple y basta apenas una dirección de correo. Si algún empleado compra algo por internet y en lugar de utilizar un correo personal recurre al de la compañía, al abrir un mensaje de respuesta, ya deja la puerta abierta. Y si luego envía otros mensajes desde esa misma cuenta a otros correos de la empresa, las puertas comienzan a abrirse y el control sobre la epidemia se pierde. El mayor problema es que estos virus se detectan cuando se pide el rescate, pero hasta que eso ocurra pueden estar activos, saltando de un ordenador a otro y secuestrando información hasta que consideran que ya tienen suficiente. Sólo en ese momento, avisan de su presencia. El uso de pen-drives, discos duros externos y hasta conectar el móvil directo al ordenador (para descargase música o cargar la batería) puede ser suficiente para darle vida al «ransomware».
"Ramsonware" - qué es?, cómo infecta? y cómo prevenirlo?
Código fuente de un "Ramsonware"
Pero no cualquiera se contagia, hay que tener una debilidad que es la que aprovecha el «ransomware». Y en este caso se trata de un fallo en el sistema operativo de Microsoft, que ya el 14 de marzo avisó del mismo y creó un parche para resolverlo. El problema es que las grandes instituciones y empresas no actualizan a menudo sus ordenadores. Solo en Telefónica trabajan miles de personas y actualizar cada ordenador sería una tarea titánica que requiere horas de pausa laboral. Lo recomendable, en cuanto a prevención, es realizar copias de seguridad habitualmente (al menos cada tres días), así como no abrir archivos o correos de procedencia desconocida.
Uno de los mayores expertos a nivel mundial en «ransomware» es Jakub Kroustek, director del área de «malware» de Avast (el antivirus gratuito más utilizado en el mundo: 40% del mercado de antivirus fuera de China y 400 millones de usuarios). En un post publicado ayer mismo, Kroustek aseguraba que en febrero de este año habían detectado la primera versión de WanaCry y ahora, tres meses después, ya estaba disponible en 28 idiomas (desde el inglés, al francés, el búlgaro o el vietnamita). Kroustek también especula acerca de quién o quiénes pueden estar detrás de estos ataques. Aparentemente, un grupo de hackers llamado ShadowBrokers habrían robado las herramientas de ataque del EquationGroup (otro grupo de hackers, pero uno al que Kaspersky Labs describe como el «más avanzado que han visto» y con vínculos con la Agencia Nacional de Seguridad de Estados Unidos) y luego habrían liberado dichas herramientas y las instrucciones de uso en la red para que cualquiera pueda servirse de ellas.
Cronología
12MAY17 : 08:00 AM
57000 Ataques de "RamsonWare
13MAY17 : 08:00 AM.
13MAY17 - Virus "Wanna Cry" infecta a nivel mundial
15MAY17-08:00AM
Cómo limpiar el virus Wanna Cry?
Virus Wanna Cry - Prevención
China descubre una nueva mutación del virus Wanna Cry
Qué sistemas ataca?
RT - Putin, los servicios de inteligencia norteamericanos son la fuente de la infección
Ataques
12MAY17 - Red interna de Telefónica atacada
12MAY17 - Virus ataca 70 países
13MAY17 - El Ciberataque que afectó a caso 100 países
13MAY17 . "Ramsonware" Ciber attacks"
Estaremos informando.
_________________________________________
ASXLab