Blog Widefense

El legado de Wannacry: ¿Cómo ha cambiado el ransomware?

Escrito por Javiera González | 10-may-23

El viernes 12 de mayo de 2023 marca el sexto aniversario de WannaCry, uno de los ataques de ransomware más notorios en la historia de los ciberataques. Esta fecha brinda la oportunidad de reflexionar sobre el impacto duradero que tuvo este ataque en la ciberseguridad, tanto por cómo ha influido en la mejora e incremento de este tipo de ciberataques, así como en la manera en que ha evolucionado la gestión del riesgo cibernético para lograr la ciber resiliencia.

La historia detrás del ataque cibernético global de WannaCry

El 12 de mayo de 2017 quedó grabado en la historia como el día en que se produjo uno de los ataques de ransomware más famosos y devastadores a nivel mundial. WannaCry infectó a más de 230.000 dispositivos en alrededor de 150 países, causando daños financieros y reputacionales a una cantidad de organizaciones inestimable. Los países más perjudicados fueron Rusia, Ucrania, India, Gran Bretaña, donde se vio comprometido el servicio nacional de salud, así también España, por el ataque a Telefónica, y finalmente Alemania, donde la empresa ferroviaria alemana Deutsche Bahn AG fue el principal blanco.

En cuestión de horas, WannaCry se propagó de manera implacable por todo el mundo, comenzando en el Sudeste Asiático y llegando a afectar a organizaciones y usuarios en Latinoamérica y Europa. Este ataque de ransomware no discriminó entre objetivos, impactando a hospitales, estaciones de policía, organizaciones privadas, compañías de servicios y usuarios particulares por igual, generando pérdidas millonarias.

A diferencia de las altas sumas de rescate de estos días, los ciberdelincuentes solicitaban 300 dólares por rescate, aunque si se excedía el plazo, el monto se duplicaba. Considerando que se estima que unas 330 víctimas, incluyendo personas y organizaciones, pagaron el rescate, la suma total que recibieron los actores tras este ataque fue de aproximadamente 51,6 bitcoins, que en 2017 equivalía a unos 130 mil dólares. No obstante, la pérdida total para las organizaciones se estimó en 4.000 millones de dólares, incluyendo los costos de control de daños, limpieza y otros.

La diferencia más significativa del ataque de WannaCry fue el uso del exploit EternalBlue, un software que fue creado específicamente para explotar el fallo de seguridad en el protocolo Server Message Block de Microsoft. Esta característica única hizo que WannaCry fuera mucho más dañino y peligroso que otros ataques de ransomware existentes hasta el momento.
 
Se cree que la Agencia de Seguridad Nacional (NSA) de los Estados Unidos desarrolló EternalBlue. Se ha dicho que la NSA pudo haber informado a Microsoft sobre la falla de seguridad, pero en lugar de hacerlo, decidió retener la información para utilizarla como una herramienta en futuros ataques cibernéticos.
 
The Shadow Brokers, una organización de hackers, atacó a la NSA y filtró en abril de 2017 información clasificada, incluyendo EternalBlue. Este incidente permitió que este exploit llegara a manos de los atacantes.

Aún se desconoce la identidad de los ciberdelincuentes tras WannaCry. El hecho de que el ataque se propagara de manera tan rápida y masiva a nivel mundial dificultó la identificación de los responsables. A pesar de los esfuerzos realizados por las autoridades, luego de seis años del hecho, no se ha logrado determinar con certeza la autoría de este ataque.

 

El parche de Microsoft: Cómo se pudo haber evitado un desastre 

En marzo de 2017, pocos meses antes del ataque, Microsoft lanzó un parche que solucionaba la vulnerabilidad registrada en CVE-2017-0144 que era explotada por EternalBlue. El parche fue anunciado a través del boletín de seguridad MS-17-010 y estaba disponible para su descarga en el sitio web de Microsoft.

A pesar de la existencia de este parche, muchos usuarios no habían actualizado sus sistemas cuando estos atacantes actuaron, he ahí la importancia de realizar las actualizaciones de los sistemas y softwares en cuanto estén disponibles.

 

El fin de WannaCry: Cómo se logró detener el ataque de ransomware más notorio en la historia

Durante el ataque, Marcus Hutchins, conocido como Malware Tech, se encontró con noticias del malware y sospechó que se trataba de un gusano informático.

Hutchins obtuvo una muestra del virus y descubrió que intentaba conectarse con un dominio web sin registrar, entonces compró el dominio por 10,69 dólares y sin saberlo, detuvo el ataque de WannaCry de inmediato gracias a un Kill Switch. La acción de Hutchins fue crucial para detener la propagación de WannaCry y se convirtió en "El Héroe Accidental".

Si bien Microsoft ya resolvió la falla que permitió a WannaCry afectar sus dispositivos, se han detectado versiones más potentes del ataque WannaCry. Versiones que, ha medida que pasa el tiempo, posiblemente seguirán surgiendo. Esto implica que todos estamos propensos a ser atacados por el ransomware y frente a esto es fundamental tomar acciones preventivas.

 

El impacto de WannaCry en la evolución del ransomware: Cómo ha cambiado el panorama de la seguridad informática

Desde WannaCry los ataques de ransomware han ido creciendo aproximadamente un 100% cada año. El periodo 2020-2021(post COVID-19) el ransomware representó un 79% del total de incidentes de ciberseguridad, y para el 2031 se ha pronosticado que representará pérdidas de cerca de 265 mil millones de dólares, con un ataque cada 2 segundos.

El impacto de WannaCry en la conciencia pública sobre los riesgos cibernéticos fue enorme, y sirvió como un llamado de atención frente a la necesidad de mejorar la postura de ciberseguridad dentro de las organizaciones.

También ha habido una mayor colaboración entre los sectores público y privado para combatir las amenazas cibernéticas. Por ejemplo, el Centro Nacional de Ciberseguridad del Reino Unido ha trabajado en estrecha colaboración con empresas como Microsoft para abordar las vulnerabilidades en sus sistemas operativos y reducir el riesgo de ataques.

Por otra parte, el CISA en EE.UU. ha impulsado diversas iniciativas que están disponibles para todo el mundo para aplicar y mejorar la postura de seguridad, como #StopRansomware.

Pero así como fue útil para generar conciencia, también lo fue a nivel de avance tecnológico. La gama del ransomware, las técnicas y tácticas han evolucionado significativamente desde este hito. En este ámbito se destacan algunos cambios:

  • Los atacantes de ransomware se han vuelto más sofisticados, utilizando técnicas de ingeniería social, explotación de vulnerabilidades de día cero y herramientas y técnicas avanzadas de evasión para eludir la detección.
  • Los ataques de ransomware han demostrado ser muy rentables para los ciberdelincuentes, lo que ha aumentado la cantidad de este tipo de ataque. Los rescates exigidos se han vuelto cada vez más altos, y algunos grupos se dedican exclusivamente a emplear modelos de negocios como Ransomware as a Service (RaaS).
  • Los atacantes han ampliado sus objetivos para incluir no solo empresas y organizaciones gubernamentales, sino también a individuos, incluyendo personas que trabajan desde casa, una actividad muy común tras la pandemia de COVID-19.
  • Algunos grupos de ransomware, como REvil y DarkSide, han demostrado ser organizaciones altamente estructuradas y sofisticadas, con operaciones altamente coordinadas y bien financiadas, lo que solo parece ir incrementando.

En síntesis, desde WannaCry, el ransomware se ha vuelto más sofisticado, más rentable y más complejo. Además, lo ataques de ransomware ahora incluyen técnicas avanzadas de evasión, lo que hace que la defensa contra estos ataques sea aún más desafiante.


Recomendaciones

La pérdida de la continuidad operacional, sumada a la filtración de datos y el daño a la reputación, hace que el ransomware pueda llegar a ser devastador para organizaciones que no estén bien preparadas.

Frente a este riesgo cibernético, crear una estrategia de ciberdefensa integral es el siguiente paso dentro de la evolución de la ciberseguridad. Un espacio donde se define una estrategia centrada en generar resiliencia en la mentalidad, la cultura y el enfoque de la organización.

Alinear la ciberseguridad con la estrategia de negocio permite a las organizaciones estar mejor protegidas, potenciar permanentemente su resiliencia cibernética y defender exhaustivamente los activos que son críticos para la continuidad de su negocio.

Sin importar si se trata de una pequeña organización que está empezando o una gran corporación que esté avanzada en materia de seguridad, en Widefense acompañamos a las organizaciones en su recorrido hacia una ciberdefensa integral.

Fuentes

https://www.kaspersky.es/resource-center/threats/ransomware-wannacry 

https://keepcoding.io/blog/que-es-wannacry-ransomeware-2017/#:~:text=El%20ransomware%20WannaCry%20fue%20descubierto,Nacionales%20de%20Estado%2C%20con%20WannaCry.

https://www.avast.com/es-es/c-wannacry

https://www.proofpoint.com/es/threat-reference/wannacry

https://www.cloudflare.com/es-es/learning/security/ransomware/wannacry-ransomware/

https://www.infobae.com/america/tecno/2018/05/12/como-surgio-y-se-propago-wannacry-uno-de-los-ciberataques-mas-grandes-de-la-historia/

https://www.trendtic.cl/2021/12/ataques-de-ransomware-crecen-100-a-nivel-mundial-en-los-ultimos-2-anos-y-pago-de-rescates-82/#:~:text=Ciberseguridad-,Ataques%20de%20ransomware%20crecen%20100%25%20a%20nivel%20mundial%20en%20los,y%20pago%20de%20rescates%2082%25

https://preyproject.com/es/blog/30-estadisticas-seguridad-informatica