Como ya sabéis, el pasado viernes un ciberataque de ransomware masivo afectó a organizaciones de al menos 99 países, incluyendo a Telefónica en España, Renault en Francia, el Servicio Nacional de Salud del Reino Unido o FedEx en Estados Unidos. Tal y como os contamos ayer, el responsable de este ataque es una variante de WannaCry, un malware especialmente virulento que se aprovecha de una vulnerabilidad en Windows que le permite ejecutar comandos remotos a través de SMB y propagar el virus al resto de dispositivos de la red.

A pesar de que la vulnerabilidad que explota WannaCry ya era conocida y fue solucionada en el boletín de seguridad de Microsoft MS17-010 el pasado 14 de marzo, la expansión de WannaCry en las últimas horas ha sido imparable. ¿O no? Parece que un par de investigadores británicos han conseguido parar la propagación analizando el código del ransomware.

Al parecer, el código del ransomware cuenta con un kill-switch (un interruptor de emergencia virtual) que consiste en la propagación del malware vía un dominio. Si WannaCry conseguía conectarse al dominio en cuestión (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) paraba, si ocurría lo contrario, seguía propagándose.

La clave estaba entonces en hacer que ese dominio respondiese y así, parar el ataque. Eso es precisamente lo que hicieron los investigadores. Compraron el dominio por un coste de aproximadamente 10 euros y redirigieron todas sus conexiones a un servidor sinkhole, de forma que cada vez que se producía el proceso citado anteriormente, el dominio proporciona respuesta a una petición de DNS devolviendo una IP falsa o nula haciendo que todas las peticiones de WannaCry (más de 5.000 por segundo) fuesen atendidas evitando así la propagación.

Imagen

Como véis, todo apunta a que la expansión de WannaCry se ha detenido, pero su código podría aprovecharse para crear una nueva variante con la que difundir de nuevo el caos. Por ello, desde Globb Seurity y Globb Security France os recomendamos seguir ciertas medidas para mejorar la seguridad de vuestros dispositivos contra este tipo de ataques.

About Author

Desiree Rodriguez

Responsable Globb Security España y Francia @Drodriguezleal

Deja un comentario