![\"Nota](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2022\/09\/05103046\/wannacry-hsitory-lessons-ransom-note.jpg\")
Nota de rescate de Wannacry en la pantalla de un ordenador infectado. Fuente.<\/a><\/p><\/div>\n Justo despu\u00e9s, las v\u00edctimas descubrieron que todos sus documentos estaban cifrados y que todas las extensiones de archivos normales como .doc o .mp3 ten\u00edan a\u00f1adida la extensi\u00f3n .wnry. Adem\u00e1s, por si alguien cerraba la ventana sin leerla, el malware tambi\u00e9n cambiaba el fondo de pantalla del escritorio por el siguiente mensaje:<\/p>\n Advertencia en el fondo de pantalla. Fuente.<\/a><\/p><\/div>\n Para descifrar los archivos, el programa exig\u00eda una transferencia de 300 d\u00f3lares en bitcoins al monedero de los atacantes. M\u00e1s tarde, la cantidad exigida subi\u00f3 a 600 d\u00f3lares. En un solo d\u00eda, el gusano de Internet que se propagaba r\u00e1pidamente hab\u00eda infectado a m\u00e1s de 200.000 sistemas alrededor del mundo, incluyendo tanto ordenadores dom\u00e9sticos como redes corporativas: se vieron afectados hospitales, empresas de transporte, servicios bancarios y operadoras de telefon\u00eda m\u00f3vil. TSMC, el fabricante de chips taiwan\u00e9s, tuvo que suspender su producci\u00f3n debido a una infecci\u00f3n en masa de sus dispositivos corporativos.<\/p>\n La propagaci\u00f3n a la velocidad de la luz de Wannacry se dio gracias a las vulnerabilidades del protocolo SMB (Server Message Block<\/em>) en Windows. Este protocolo sirve para intercambiar archivos mediante una red local. Las vulnerabilidades permitieron la ejecuci\u00f3n de c\u00f3digo arbitrario en un ordenador no parcheado mediante una solicitud a trav\u00e9s del protocolo SMBv1. Se trata de una versi\u00f3n anticuada de SMB que se ha estado en funcionamiento desde comienzos de la d\u00e9cada de 1990. Desde 2006, la versi\u00f3n predeterminada del protocolo utilizado en Windows ha sido SMBv2 o posterior, pero se mantuvo la compatibilidad con el protocolo anterior para que funcionara en ordenadores que ejecuten software <\/em>heredado.<\/p>\n Cuando se descubri\u00f3 el problema y se lanzaron actualizaciones<\/a> en marzo de 2017 (casi dos meses antes de la aparici\u00f3n de WannaCry), las vulnerabilidades de SMBv1 afectaron a todas las versiones no parcheadas del sistema operativo, desde Windows Vista hasta el entonces reci\u00e9n estrenado Windows 10. Los sistemas obsoletos Windows XP y Windows 8 tambi\u00e9n estaban en riesgo. Microsoft, a pesar de haberle retirado el soporte de manera oficial en 2014, lanz\u00f3 un parche para Windows XP. El exploit <\/em>que apuntaba a las vulnerabilidades en SMBv1 se conoce com\u00fanmente por el nombre clave de EternalBlue, por razones que merecen una menci\u00f3n aparte.<\/p>\n Pero primero, hay que conocer otro nombre clave: DoublePulsar<\/a>. Este es el nombre de un c\u00f3digo malicioso que se usa para crear una puerta trasera en el sistema atacado. Tanto el exploit <\/em>EternalBlue como la puerta trasera DoublePulsar se hicieron p\u00fablicos<\/a> por el grupo an\u00f3nimo ShadowBrokers en marzo y abril de 2017, respectivamente. Estas y otras herramientas maliciosas fueron robadas supuestamente de una divisi\u00f3n de la Agencia de Seguridad Nacional de los Estados Unidos. El gusano WannaCry utiliza ambos componentes: primero adquiere la capacidad de ejecutar c\u00f3digo malicioso mediante el exploit <\/em>EternalBlue, luego utiliza la herramienta personalizada DoublePulsar para lanzar la carga \u00fatil para cifrar archivos y mostrar la nota de rescate.<\/p>\n Adem\u00e1s del cifrado de archivos, WannaCry se comunicaba con el servidor C2 de los atacantes mediante la red an\u00f3nima Tor y se propagaba enviando solicitudes maliciosas a direcciones IP aleatorias. Esto fue lo que impuls\u00f3 la incre\u00edble tasa de distribuci\u00f3n del gusano, \u00a1con cientos de miles de sistemas infectados por hora!<\/p>\n En el mismo d\u00eda, el 12 de mayo, un bloguero de ciberseguridad desconocido hasta entonces, MalwareTech, analiz\u00f3 en profundidad el c\u00f3digo de WannaCry. Descubri\u00f3 que dentro del c\u00f3digo hab\u00eda una direcci\u00f3n con el formato <very_long_nonsensical_set_of_characters>.com. El dominio no estaba registrado, por lo que MalwareTech lo registr\u00f3 para \u00e9l, asumiendo inicialmente que los ordenadores infectados utilizar\u00edan esta direcci\u00f3n para comunicarse con los servidores C2. En cambio, sin darse cuenta, detuvo la epidemia de WannaCry.<\/p>\n Aunque se supo<\/a> que, durante la noche del 12 de mayo, tras el registro del dominio, WannaCry segu\u00eda infectando ordenadores, no cifr\u00f3 datos en ellos. Lo que hac\u00eda el malware<\/em> realmente era acceder al nombre del dominio y, si este no exist\u00eda, cifraba los archivos. Dado que el dominio ahora estaba disponible, por alguna raz\u00f3n, todas las instancias de malware<\/em> detuvieron su actividad. \u00bfPor qu\u00e9 los creadores hicieron que fuera tan f\u00e1cil matar su ransomware<\/em>? Seg\u00fan MalwareTech, se trat\u00f3 de un intento fallido de burlar el an\u00e1lisis automatizado de sandbox<\/em>.<\/p>\n El sandboxing<\/em> funciona de la siguiente forma: un programa malicioso se ejecuta en un entorno virtual aislado que permite el an\u00e1lisis de su comportamiento en tiempo real. Este es un procedimiento com\u00fan que los analistas de virus realizan de forma manual o autom\u00e1tica. El entorno virtual est\u00e1 dise\u00f1ado para permitir que el malware <\/em>se ejecute completamente y revele todos sus secretos a los investigadores. Si el malware<\/em> solicita un archivo, el sandbox<\/em> simula la existencia de este archivo. Si este accede a una web online<\/em>, el entorno virtual es capaz de emular una respuesta. Quiz\u00e1s los autores de WannaCry creyeron que pod\u00edan burlar el an\u00e1lisis de sandbox<\/em>: si el gusano accedi\u00f3 a un dominio que se sabe que no existe y obtuvo una respuesta, entonces la v\u00edctima no es real y la actividad maliciosa debe ocultarse.<\/p>\n Con lo que probablemente no contaron fue con que el c\u00f3digo del gusano se desensamblara en tan solo tres horas y que se encontrara y registrara su nombre de dominio \u201csecreto\u201d.<\/p>\n MalwareTech tuvo razones para ocultar su verdadera identidad. Su nombre real es Marcus Hutchins y, cuando lleg\u00f3 WannaCry, tan solo ten\u00eda 23 a\u00f1os. Cuando estaba en el instituto se junt\u00f3 con malas compa\u00f1\u00edas, como se suele decir, y pasaba el rato en foros relacionados con delitos cibern\u00e9ticos menores. Una de sus \u201cfechor\u00edas\u201d era desarrollar un programa para robar contrase\u00f1as de navegador. Tambi\u00e9n desarroll\u00f3 un programa para infectar a los usuarios mediante Torrents y lo utiliz\u00f3 para construir una fuerte red de bots <\/em>de 8.000 ordenadores.<\/p>\n A principios de los a\u00f1os 2000, le descubri\u00f3 un hacker<\/em> m\u00e1s grande y le invit\u00f3 a desarrollar una pieza del malware<\/em> Kronos. Por su trabajo, Marcus cobraba una comisi\u00f3n por cada venta realizada en el mercado gris: otros ciberdelincuentes compraban el malware<\/em> para realizar sus propios ataques. Hutchins revel\u00f3 que hab\u00eda compartido con sus c\u00f3mplices en al menos dos ocasiones su nombre real y su domicilio en Reino Unido. Esta informaci\u00f3n despu\u00e9s lleg\u00f3 a manos de las autoridades estadounidenses.<\/p>\n El hombre que \u201csalv\u00f3 Internet\u201d ya no era an\u00f3nimo. Dos d\u00edas despu\u00e9s, los reporteros golpeaban su puerta: la hija de uno de los periodistas iba al mismo colegio que Markus y sab\u00eda que usaba el alias de MalwareTech. En un primer momento, evit\u00f3 hablar con la prensa, pero finalmente concedi\u00f3 una entrevista a la agencia Associated Press<\/em>. En agosto de 2017, asisti\u00f3 a la famosa conferencia de hackers <\/em>DEF CON de Las Vegas como invitado de honor.<\/p>\n Ah\u00ed fue donde le arrestaron. Tras pasar varios meses en arresto domiciliario y admitir parcialmente los cargos relacionados con Kronos, Hutchins sali\u00f3 airoso con una sentencia suspendida. En una importante entrevista<\/a> con la revista Wired<\/em>, describi\u00f3 su pasado criminal como un lamentable error: su principal motivaci\u00f3n no era el dinero, sino su deseo de mostrar sus habilidades y lograr el reconocimiento de la comunidad clandestina. En la \u00e9poca de WannaCry, durante dos a\u00f1os no tuvo contacto con ciberdelincuentes y su blog MalwareTech fue le\u00eddo y admirado por los expertos.<\/p>\n![\"Advertencia](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2022\/09\/05103541\/wannacry-hsitory-lessons-wallpaper.jpg\")
\u00bfC\u00f3mo pas\u00f3?<\/h2>\n
Interruptor de apagado<\/h2>\n
MalwareTech: \u201cel hacker<\/em> que salv\u00f3 Internet\u201d<\/h2>\n
\u00bfEsa fue la \u00faltima epidemia?<\/h2>\n