WanaCrypt0r, el malware que secuestra computadoras, comenzó su camino en Telefónica de España, continuó por dispositivos del Servicio Nacional de Salud de Inglaterra (NHS) y ya tiene en su poder 57.000 dispositivos.
“En el día de hoy, hemos observado un ataque a gran escala del ransomware WanaCrypt0r 2.0 (conocido como WCry), con más de 57.000 casos detectados hasta ahora”, dijo la empresa de seguridad informática Avast.
El ciberataque afecta sobre todo a Rusia, Ucrania y Taiwán, pero logró infectar también instituciones muy importantes, como muchos hospitales en Inglaterra y la empresa de telecomunicaciones española Telefónica. El ataque comenzó en la mañana europea, pero a las pocas horas tomó relevancia en varios países del Viejo Continente.
La primera versión de WanaCrypt0r apareció en febrero y ahora está disponible en 28 idiomas, desde el búlgaro hasta el vietnamita.
“Este ataque demuestra una vez más que el ransomware es un arma poderosa que se puede usar tanto contra consumidores como contra empresas. Se torna particularmente dañino cuando infecta instituciones como los hospitales, donde se pone en riesgo la vida de los pacientes”, sentenció Avast.
El ataque
Los ataques de ransomware “secuestran” archivos de la computadora, encriptándolos, pidiendo más tarde un rescate a los dueños. La realidad marca que pagar o no es lo mismo ya que los piratas no suelen devolver el acceso a los documentos afectados.
El ransomware cambia la extensión del archivo afectado a .WNCRY, de modo que un archivo infectado se verá, por ejemplo, así: nombre_original_del_archivo.jpg.WNCRY. Los archivos cifrados también están marcados con la cadena “WANACRY!” al comienzo del archivo.
El ransomware despliega el siguiente mensaje en un archivo de texto:
El rescate exigido es de u$s300 en bitcoins. El mensaje con instrucciones para pagar el rescate, una explicación de lo ocurrido y un temporizador regresivo se muestra en lo que los ciberdelincuentes responsables del ataque denominan “Wana Decrypt0r 2.0”:
Además, el fondo de pantalla de la víctima muestra la siguiente imagen:
Infección
Lo más probable es que el WanaCrypt0r 2.0 se propague a tantas computadoras por una vulnerabilidad de Equation Group, un grupo sospechado de hacer trabajos poco claros de la Agencia Nacional de Seguridad (NSA) de los EEUU.
Un grupo de piratas llamado ShadowBrokers robó las herramientas de hackeo y las difundió públicamente.
“Avast detecta todas las versiones nuevas de WanaCrypt0r 2.0, pero recomendamos encarecidamente que los usuarios actualicen los sistemas con los últimos parches disponibles. Continuaremos monitoreando este ataque”, finalizó la empresa.