Un gusano ransomware derivado de la NSA está cerrando computadoras en todo el mundo – Gazeta Warszawska bitcoin físico precio de la moneda

Al parecer, Wcry está causando interrupciones en bancos, hospitales, servicios de telecomunicaciones, estaciones de tren y otras organizaciones de misión crítica en varios países, incluido el Reino Unido, España, Alemania y Turquía. FedEx, el Servicio Nacional de Salud del gobierno del Reino Unido y Telefónica de telecomunicaciones en España han sido todos afectados. El CERT español lo ha llamado "ataque masivo de ransomware" es decir, cifrar todos los archivos de redes enteras y difundir lateralmente a través de las organizaciones.

La propagación viral gusano finalmente se detuvo cuando un investigador que usa Twitter maneja MalwareTech y trabaja para la firma de seguridad Kryptos Logic tomó el control de un nombre de dominio que fue codificado en el exploit de autorreplicación. El registro del dominio, que se produjo alrededor de las 6:00 AM hora de California, fue un gran golpe de suerte, porque fue posible solo porque los atacantes no pudieron obtener la dirección primero.

La dirección parecía servir como una especie de interruptor de muerte que los atacantes podrían usar para terminar la campaña. El registro de MalwareTech tuvo el efecto de poner fin a los ataques que habían comenzado el viernes por la mañana temprano en otras partes del mundo. Como resultado, el número de detecciones de infección se estabilizó dramáticamente en las horas posteriores al registro. No tuvo efecto en las infecciones de WCry que se iniciaron a través de campañas anteriores. ¿Recuerdas el código rojo?

Otro motivo de preocupación: Wcry copia un exploit de grado armamentamam Eternalblue que la NSA usó durante años para controlar remotamente. computadoras con Microsoft Windows Eternalblue, que funciona de manera confiable contra las computadoras que ejecutan Microsoft Windows XP a través de Windows Server 2012, fue uno de varios ataques potentes publicados en la versión más reciente de Shadow Brokers a mediados de abril. Los desarrolladores de Wcry han combinado el exploit de Eternalblue con una carga útil auto-replicante que permite al ransomware para propagarse de forma viral desde una máquina vulnerable a una máquina vulnerable, sin requerir que los operadores abran correos electrónicos, hagan clic en enlaces o realicen cualquier otro tipo de acción.

"El vector de infección inicial es algo que todavía estamos tratando de descubrir." Adam Kujawa, investigador del proveedor de antivirus Malwarebytes, le dijo a Ars. "Teniendo en cuenta que este ataque parece estar dirigido, podría haber sido a través de una vulnerabilidad en las defensas de la red o un ataque de phishing muy bien diseñado. En cualquier caso, se está propagando a través de redes infectadas utilizando la vulnerabilidad EternalBlue, infectando sistemas adicionales sin parches."

No está claro si el exploit de Eternalblue es el único medio de propagación de Wcry o si tiene múltiples métodos de propagación. En una actualización que fue notable por su improbable y extremadamente fortuito momento, Microsoft solucionó la vulnerabilidad subyacente en marzo, exactamente cuatro semanas antes de que el lanzamiento de abril de los Shadow Brokers publicara el ataque de la NSA con grado de armamento. El rápido brote de Wcry puede ser un indicio de que muchas, o posiblemente todas, de las empresas más exitosas aún tenían que instalar un parche crítico de Windows más de dos meses después de su lanzamiento.

Otras organizaciones en España que se han visto afectadas por interrupciones incluyen a Vodafone España, a la consultora KPMG, a los bancos BBVA y Santander, y a la compañía de energía Iberdrola. El Blackpool Victoria Hospital en el Reino Unido, según se informa, rogó a los pacientes que buscaran tratamiento solo para emergencias que amenazan la vida después de que Wcry paralizara su red. Portugal Telecom también ha reportado estar infectado. Mientras tanto, el Barts Health Hospital en Londres está redirigiendo ambulancias a otras instalaciones. Al menos dos estaciones de tren mostraron signos de infecciones según las imágenes de visualización publicadas aquí y aquí.

Según un artículo publicado por El Mundo, con sede en Madrid, el 85 por ciento de las computadoras de Telefónica, la principal empresa de telecomunicaciones de España, está afectada por el gusano, aunque esa cifra no se ha confirmado. Los funcionarios de Telefónica y las compañías energéticas españolas Iberdrola y Gas Natural Fenosa han instruido a todos los empleados para que cierren computadoras abajo. Si bien el periódico confirmó un ataque a Telefónica, dijo que aún no estaba claro si las otras dos compañías estaban infectadas o si ordenaron el cierre como medida preventiva.

Wcry está demandando un rescate de $ 300 a $ 600 en Bitcoin se pagará antes del 15 de mayo o, en caso de que se pierda la fecha límite, una tarifa más alta antes del 19 de mayo. Los mensajes que se dejan en la pantalla indican que los archivos permanecerán encriptados. Aún no está claro si hay fallas en el esquema de encriptación que podrían permitir a las víctimas restaurar los archivos sin pagar el rescate.

banner