Android 3G – ¡Estamos conectados con la Tecnología Android!.
 

Cómo un investigador anónimo ha detenido “accidentalmente” y con 10 euros el ransomware WannaCrypt

Publicado Por Android3g el Mayo 13th, 2017

Wanna Crypt

A estas alturas lo mas factible es que estés mas que familiarizado con WannaCrypt, el ransomware que ayer atacaba la red interna de Telefónica y que también ha ido dejando fuera de combate a otras instituciones por medio mundo, incorporando varios hospitales de Reino Unido. Parecía que nos encontrábamos ante una “epidemia informática” a nivel global pero, de pronto, las infecciones parecen haberse detenido.

¿El motivo? Un investigador británico, @MalwareTechBlog en Twitter, dice haber hallado un “kill-switch”, un interruptor de apagado de emergencia, en el codigo del ransomware, y ha hecho uso de él. En concreto, y segun él afirma al diario The Guardian, WannaCrypt incluía en una parte de su codigo una conexión a un control concreto: si se conectaba, el malware(gusano) se “dormía”; si no, procedía a atacar.

El control no estaba registrado, así que @MalwareTechBlog decidió registrarlo. Por unos diez euros, obtuvó hacerse con dicho nombre de control e, rápidamente después, comenzó a recibir a través de él numerosas solicitudes de equipos infectados. Las redirige a un servidor sinkhole, a través del cual esta detectando documentos del combate y enviándolos, segun él asegura, al FBI. Como el ransomware descubre que hay conexión, entonces no infecta el equipo.

Captura Dominio Captura del codigo donde se puede visualizar que WannaCrypt trata conectarse a un control y, en función de la respuesta, continua con el combate o no.

La solucion de @MalwareTechBlog nos sirve, además, para crearnos una idea de los numerosos ataques que WannaCrypt esta intentando a nivel global. Con la procedencia de las solicitudes que recibe a través del control registrado, el investigador ha elaborado un mapa en tiempo real que muestra desde dónde se conectan los computadores infectados y el New York Times ha optado por educar en un mapa en diferido la evolución de las infecciones en todo el mundo.

La existencia de este “kill-switch” ha sido confirmada por Malwarebytes y por Talos Intelligence, perteneciente a CISCO. En el próximo gráfico revelan como comenzaron a descubrir un crecimiento de solicitudes DNS sobre dicho control a partir de las 07.24 UTC, hasta lograr las 1.400 simultáneas horas mas tarde:

Dominio Dns

Pero ¿ha detenido el ataque?

Todavía es pronto para responder, sin embargo todo parece demostrar que sí o, al menos, esta apoyando a ralentizar la infestación de nuevos equipos. Darien Huss, de la compañia de ciberseguridad Proofpoint, así lo asegura, y también CISCO a través de Warren Mercer, encargado técnico de Cisco Talos, y del propio analisis de Talos Intelligence que comentábamos antes. En Malwarebytes lo confirman y también lo explican así:

El WinMain de este ejecutable 1° se trata conectar al sitio web(www) www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. No descarga nada de allí, simplemente trata conectarse. Si se conecta, deja de ejecutarse.

Esto era posiblemente una especie de kill-switch o técnica anti-sandbox. Pero, fuera lo que fuera, ha efecto contraproducente contra los inventores del gusano, ya que el control ha sido redigirido a un sinkhole y el host en cuestión ahora resuelve una IP(direciones) que hospeda un sitio web. Por tanto, nada pasará a los nuevos sistemas en los que se ejecute este ejecutable. Esto sólo se aplica a esta variante con el hash que hemos compartido; podría haber nuevas versiones en el futuro

Mercer se refiere a @MalwareTechBlog como un “héroe accidental”, y el propio investigador británico lo confirma: “Confieso que no sabía que registrar el control detendría el malware(gusano) hasta después de registrarlo, así que principalmente fue accidental”.

Ojo: lo mas seguro es que aparezcan nuevas variantes que no se puedan parar con este método

Eso sí, esto no significa que las maldades de WannaCrypt se hayan finalizado aquí. Los computadores infectados siguen infectados y, además, si alguien decidiera modificar el malware(gusano) y regresar a distribuirlo con otro dominio o directamente sin esa linea de código, podríamos regresar a encontrarnos con una epidemia mundial, segun advierten @MalwareTechBlog y otros expertos. ¿Lo mejor? Parchear los sistemas lo antes posible.

En Xataka | Todo sobre el combate de WannaCrypt

También te recomendamos

¿Por qué las pymes españolas no quieren ser enormes empresas?

Wanna Decryptor: así sirve el ransomware que se ha usado en el ciberataque a Telefónica

Reacción de las industrias españolas al combate a Telefónica: entre la precaución y el pánico


La novedad Cómo un investigador anónimo ha detenido “accidentalmente” y con diez euros el ransomware WannaCrypt fue publicada originalmente en Xataka por María González .


Xataka



Agradecemos a la fuente original por la información que nos ayudo a crear este articulo.

También puedes revisar estas noticias relacionadas.

Tags: , , , , , , ,

ENTRADAS SIMILARES
Publicado en Móviles

Deja un comentario