El viernes pasado comenzó un ciberataque mundial con este ransomware. Inicialmente surgió desde el gigante de telecomunicaciones Telefónica, y en sólo horas se propagó por 150 países.

Eleconomista.com.mx. México ya es el país más afectado en América Latina y el quinto a nivel global, después de Rusia, Ucrania, China e India, por el ataque mundial del ransomware WannaCry, dijo el director del Equipo de Investigación y Análisis de Kaspersky Lab para América Latina, Dmitry Bestuzhev.

“Los que tenemos para las 10 de la mañana indicaban que México es el país número uno en Latinoamérica en ser afectado por la campaña del ransomware WannaCry. Para el viernes de la semana pasada observábamos que Brasil se encontraba en el número uno. Vale la pena decir que, según las métricas de Kaspersky, México se encuentra en el quinto lugar a nivel mundial por la cantidad de disparos de WannaCry en el país”, comentó en entrevista.

El viernes pasado comenzó un ciberataque mundial del ransomware WannaCry o WannaCrypt que comenzó con el gigante de telecomunicaciones Telefónica, así como a otras empresas españolas y posteriormente llegó al sistema hospitalario del Reino Unido. Horas después, el ataque había llegado a México.

El experto detalló que los principales afectados son clientes corporativos e instituciones que tienen equipos conectados a la red, con sistemas desactualizados. esta campaña viene provocada por la explotación de la vulnerabilidad MS17-010 utilizando EternalBlue/DoublePulsar, que puede infectar al resto de sistemas Windows conectados en esa misma red que no estén debidamente actualizados y puede llegar a comprometer a toda la red corporativa.

“Dentro de los componentes que están integrados a la campaña se encuentran exploits que corren sobre los protocolos llamados SMB, que es el servicio de las redes de Microsoft que se utilizan para compartir impresoras, archivos, carpetas en las redes corporativas. Finalmente, los atacantes no estaban interesados de una forma inmediata en los datos de los usuarios finales. Los números que se presentan hoy corresponden principalmente a las compañías, entidades o instituciones que tengan equipos conectados a la red”, explicó el experto.

Según el medio El Economista, el fin de semana, entidades de telecomunicaciones como Telmex, Axtel o Alestra; la CFE, universidades públicas, empresas y entidades de gobierno eran vulnerables al ataque de WannaCry. En tanto, América Móvil y BBVA negaron haberse visto afectados.

Los datos de Kaspersky Lab, sin embargo, contrastan con los reportes de las autoridades mexicanas. El viernes por la tarde, la Policía Federal emitió un comunicado donde aseguraba que no se habían detectado afectaciones causadas por el ataque de ransomware.

“Nosotros no conocemos los datos que tiene la autoridad en México. Muchas veces las autoridades se basan en las denuncias; es decir, ahora que la víctima coloque una denuncia es una decisión personal y hasta en el crimen convencional, cuando uno sufre algún delito convencional, pocas son las personas que acuden las autoridades para colocar una denuncia a menos que el caso sea muy grave o esté involucrado algo más y tengan que responder a terceros”, comentó Bestuzhev.

Everything you need to know about #wannacry and how to protect yourself https://t.co/yFoKWwxYEv pic.twitter.com/ETcyZWd5a9

— Kaspersky Lab (@kaspersky) May 14, 2017

Más ataques y nuevas versiones

La Europol informó el domingo que el ataque había afectado a más de 200.000 sistemas a nivel mundial de 150 países. Sin embargo, la cifra podría estar subestimada.

“Es un dato difícil de decir con exactitud porque, por un lado, para el viernes nosotros como Kaspersky encontramos 45,000 equipos. Ahora, dentro de este malware existen referencias a los servidores donde cada equipo infectado se reporta, entonces el criminal puede rastrear a sus víctimas. En investigaciones informáticas de ciberataques existe una técnica llamada ‘sinkhole’ que consiste en que los investigadores, con el uso de la Ley, pueden llegar a tener el control del dominio del servidor malicioso y pueden observar cómo las víctimas se conectan ya no a equipos de los criminales sino equipos de los investigadores”, explicó Dmitry Bestuzhev.

“El dominio que se logró tener bajo control reportó 200.000 transacciones. Un punto muy importante es que, en algunas redes, el acceso a Internet está restringido por ejemplo al uso del proxy. Podemos tener víctimas que, aunque sus equipos se han visto afectados y el malware cifró los datos, no pudieron contactarse con los servidores de criminales o aquéllos bajo el sinkhole. Quiere decir que el número de hecho es mayor a 200.000 y este número está incrementándose”, agregó.

Warning for Monday: If you turn on a system without the MS17-010 patch and TCP port 445 open, your system can be ransomwared.

— MalwareTech (@MalwareTechBlog) May 15, 2017

La primera versión de WannaCry contenía una especie de “switch de emergencia” que, al tomar el control de un servidor referenciado en el código del malware, permitía detener la propagación. Sin embargo, nuevas versiones han emergido los cuales podrían complicar más la contención del ataque.

“Aparecieron dos nuevas modificaciones del WannaCry donde en uno utiliza otros servidores, y otra muestra es que no tiene el kill switch. Estas muestras no tienen fuerza todavía y pueden ser parte de las campañas paralelas que quieren lanzar otros actores”, señaló.

“Lo que temo más es que aparezcan otros grupos que puedan atacar, y otras familias de ransomware para lanzar sus ataques. El uso de los exploits que habían sido publicados por TheShadowBroker están ahí, siguen en Internet y si la gente no instala los parches, cualquier otro grupo con cualquier otra campaña de ransomware podrá lanzar nuevos ataques y esto va a continuar a menos que se reduzca el número de equipos desprotegidos”, comentó.