El ransomware que infectó sistemas de Telefónica y de hospitales británicos se propaga rápidamente

El ransomware que infectó sistemas de Telefónica y de hospitales británicos se propaga rápidamente

Hasta hoy, Avast a observado un ataque a gran escala del ransomware WanaCrypt0r 2.0 (conocido como WCry), con más de 57 000 casos detectados hasta ahora.

Por:
El ransomware que infectó sistemas de Telefónica y de hospitales británicos se propaga rápidamente - ransomware-wanacrypt0r-800x500
Photo: kaptn/Depositphotos

Avast informó que el virus de tipo ransomware WanaCrypt0r infectó dispositivos del Servicio Nacional de Salud de Inglaterra (NHS) y de Telefónica.

En el día de hoy, hemos observado un ataque a gran escala del ransomware WanaCrypt0r 2.0 (conocido como WCry), con más de 57 000 casos detectados hasta ahora. Según los datos recolectados, el ciberataque está dirigido principalmente a Rusia, Ucrania y Taiwán, pero ha logrado infectar también instituciones muy importantes, como muchos hospitales en Inglaterra y la empresa de telecomunicaciones española Telefónica.

El siguiente mapa muestra los países más afectados por el WanaCrpytor 2.0:

El ransomware que infectó sistemas de Telefónica y de hospitales británicos se propaga rápidamente - ransomware-wanacrypt0r_a-800x401

La primera versión del virus WanaCrypt0r apareció en febrero, y ahora está disponible en 28 idiomas, desde el búlgaro hasta el vietnamita. Hoy a las 8 a. m. de Europa Central (CET), notamos un incremento de la actividad de esta cepa, que se transformó rápidamente en un ataque masivo a partir de las 10 a. m.

 

El ransomware cambia la extensión del archivo afectado a “.WNCRY”, de modo que un archivo infectado se verá, por ejemplo, así: nombre_original_del_archivo.jpg.WNCRY. Los archivos cifrados también están marcados con la cadena “WANACRY!” al comienzo del archivo.

El ransomware despliega el siguiente mensaje en un archivo de texto:

El ransomware que infectó sistemas de Telefónica y de hospitales británicos se propaga rápidamente - ransomware-wanacrypt0r_b-800x284

El rescate exigido es de US$ 300 en bitcoins. El mensaje con instrucciones para pagar el rescate, una explicación de lo ocurrido y un temporizador regresivo se muestra en lo que los ciberdelincuentes responsables del ataque denominan “Wana Decrypt0r 2.0”:

El ransomware que infectó sistemas de Telefónica y de hospitales británicos se propaga rápidamente - ransomware-wanacrypt0r_c-800x601

Además, el fondo de pantalla de la víctima muestra la siguiente imagen:

El ransomware que infectó sistemas de Telefónica y de hospitales británicos se propaga rápidamente - ransomware-wanacrypt0r_d-800x600

 

Este ataque demuestra una vez más que el ransomware es un arma poderosa que se puede usar tanto contra consumidores como contra empresas. Se torna particularmente dañino cuando infecta instituciones como los hospitales, donde se pone en riesgo la vida de los pacientes.

Vector de infección: WanaCrypt0r 2.0

Lo más probable es que el WanaCrypt0r 2.0 se propague a tantas computadoras por una vulnerabilidad de Equation Group, un grupo sospechado de hacer el trabajo sucio de la Agencia Nacional de Seguridad (NSA) de los EE. UU. Un grupo hacker llamado ShadowBrokers robó las herramientas de hackeo y las ha difundido públicamente. Según confirmó el investigador de seguridad, Kafeine, la vulnerabilidad, conocida como ETERNALBLUE o MS17-010, fue lo que probablemente usaron los ciberdelincuentes responsables del ataque WanaCrypt0r, y constituye una vulnerabiliad de Windows SMB (Server Message Block, un protocolo de red para el uso compartido de archivos).

Avast detecta todas las versiones nuevas de WanaCrypt0r 2.0, pero recomendamos encarecidamente que los usuarios actualicen los sistemas con los últimos parches disponibles. Continuaremos monitoreando este ataque.

Por: Jakub Kroustek Director del equipo Threat Lab en Avast