La crónica de WannaCry

La corta pero intensa epidemia de ransomware a gran escala en 2017.

La epidemia del criptogusano WannaCry se inició el 12 de mayo de 2017. Sus víctimas vieron su trabajo interrumpido por el siguiente mensaje en pantalla:

Nota de rescate de Wannacry en la pantalla de un ordenador infectado.

Nota de rescate de Wannacry en la pantalla de un ordenador infectado. Fuente.

Justo después, las víctimas descubrieron que todos sus documentos estaban cifrados y que todas las extensiones de archivos normales como .doc o .mp3 tenían añadida la extensión .wnry. Además, por si alguien cerraba la ventana sin leerla, el malware también cambiaba el fondo de pantalla del escritorio por el siguiente mensaje:

Advertencia en el fondo de pantalla.

Advertencia en el fondo de pantalla. Fuente.

Para descifrar los archivos, el programa exigía una transferencia de 300 dólares en bitcoins al monedero de los atacantes. Más tarde, la cantidad exigida subió a 600 dólares. En un solo día, el gusano de Internet que se propagaba rápidamente había infectado a más de 200.000 sistemas alrededor del mundo, incluyendo tanto ordenadores domésticos como redes corporativas: se vieron afectados hospitales, empresas de transporte, servicios bancarios y operadoras de telefonía móvil. TSMC, el fabricante de chips taiwanés, tuvo que suspender su producción debido a una infección en masa de sus dispositivos corporativos.

¿Cómo pasó?

La propagación a la velocidad de la luz de Wannacry se dio gracias a las vulnerabilidades del protocolo SMB (Server Message Block) en Windows. Este protocolo sirve para intercambiar archivos mediante una red local. Las vulnerabilidades permitieron la ejecución de código arbitrario en un ordenador no parcheado mediante una solicitud a través del protocolo SMBv1. Se trata de una versión anticuada de SMB que se ha estado en funcionamiento desde comienzos de la década de 1990. Desde 2006, la versión predeterminada del protocolo utilizado en Windows ha sido SMBv2 o posterior, pero se mantuvo la compatibilidad con el protocolo anterior para que funcionara en ordenadores que ejecuten software heredado.

Cuando se descubrió el problema y se lanzaron actualizaciones en marzo de 2017 (casi dos meses antes de la aparición de WannaCry), las vulnerabilidades de SMBv1 afectaron a todas las versiones no parcheadas del sistema operativo, desde Windows Vista hasta el entonces recién estrenado Windows 10. Los sistemas obsoletos Windows XP y Windows 8 también estaban en riesgo. Microsoft, a pesar de haberle retirado el soporte de manera oficial en 2014, lanzó un parche para Windows XP. El exploit que apuntaba a las vulnerabilidades en SMBv1 se conoce comúnmente por el nombre clave de EternalBlue, por razones que merecen una mención aparte.

Pero primero, hay que conocer otro nombre clave: DoublePulsar. Este es el nombre de un código malicioso que se usa para crear una puerta trasera en el sistema atacado. Tanto el exploit EternalBlue como la puerta trasera DoublePulsar se hicieron públicos por el grupo anónimo ShadowBrokers en marzo y abril de 2017, respectivamente. Estas y otras herramientas maliciosas fueron robadas supuestamente de una división de la Agencia de Seguridad Nacional de los Estados Unidos. El gusano WannaCry utiliza ambos componentes: primero adquiere la capacidad de ejecutar código malicioso mediante el exploit EternalBlue, luego utiliza la herramienta personalizada DoublePulsar para lanzar la carga útil para cifrar archivos y mostrar la nota de rescate.

Además del cifrado de archivos, WannaCry se comunicaba con el servidor C2 de los atacantes mediante la red anónima Tor y se propagaba enviando solicitudes maliciosas a direcciones IP aleatorias. Esto fue lo que impulsó la increíble tasa de distribución del gusano, ¡con cientos de miles de sistemas infectados por hora!

Interruptor de apagado

En el mismo día, el 12 de mayo, un bloguero de ciberseguridad desconocido hasta entonces, MalwareTech, analizó en profundidad el código de WannaCry. Descubrió que dentro del código había una dirección con el formato <very_long_nonsensical_set_of_characters>.com. El dominio no estaba registrado, por lo que MalwareTech lo registró para él, asumiendo inicialmente que los ordenadores infectados utilizarían esta dirección para comunicarse con los servidores C2. En cambio, sin darse cuenta, detuvo la epidemia de WannaCry.

Aunque se supo que, durante la noche del 12 de mayo, tras el registro del dominio, WannaCry seguía infectando ordenadores, no cifró datos en ellos. Lo que hacía el malware realmente era acceder al nombre del dominio y, si este no existía, cifraba los archivos. Dado que el dominio ahora estaba disponible, por alguna razón, todas las instancias de malware detuvieron su actividad. ¿Por qué los creadores hicieron que fuera tan fácil matar su ransomware? Según MalwareTech, se trató de un intento fallido de burlar el análisis automatizado de sandbox.

El sandboxing funciona de la siguiente forma: un programa malicioso se ejecuta en un entorno virtual aislado que permite el análisis de su comportamiento en tiempo real. Este es un procedimiento común que los analistas de virus realizan de forma manual o automática. El entorno virtual está diseñado para permitir que el malware se ejecute completamente y revele todos sus secretos a los investigadores. Si el malware solicita un archivo, el sandbox simula la existencia de este archivo. Si este accede a una web online, el entorno virtual es capaz de emular una respuesta. Quizás los autores de WannaCry creyeron que podían burlar el análisis de sandbox: si el gusano accedió a un dominio que se sabe que no existe y obtuvo una respuesta, entonces la víctima no es real y la actividad maliciosa debe ocultarse.

Con lo que probablemente no contaron fue con que el código del gusano se desensamblara en tan solo tres horas y que se encontrara y registrara su nombre de dominio “secreto”.

MalwareTech: “el hacker que salvó Internet”

MalwareTech tuvo razones para ocultar su verdadera identidad. Su nombre real es Marcus Hutchins y, cuando llegó WannaCry, tan solo tenía 23 años. Cuando estaba en el instituto se juntó con malas compañías, como se suele decir, y pasaba el rato en foros relacionados con delitos cibernéticos menores. Una de sus “fechorías” era desarrollar un programa para robar contraseñas de navegador. También desarrolló un programa para infectar a los usuarios mediante Torrents y lo utilizó para construir una fuerte red de bots de 8.000 ordenadores.

A principios de los años 2000, le descubrió un hacker más grande y le invitó a desarrollar una pieza del malware Kronos. Por su trabajo, Marcus cobraba una comisión por cada venta realizada en el mercado gris: otros ciberdelincuentes compraban el malware para realizar sus propios ataques. Hutchins reveló que había compartido con sus cómplices en al menos dos ocasiones su nombre real y su domicilio en Reino Unido. Esta información después llegó a manos de las autoridades estadounidenses.

El hombre que “salvó Internet” ya no era anónimo. Dos días después, los reporteros golpeaban su puerta: la hija de uno de los periodistas iba al mismo colegio que Markus y sabía que usaba el alias de MalwareTech. En un primer momento, evitó hablar con la prensa, pero finalmente concedió una entrevista a la agencia Associated Press. En agosto de 2017, asistió a la famosa conferencia de hackers DEF CON de Las Vegas como invitado de honor.

Ahí fue donde le arrestaron. Tras pasar varios meses en arresto domiciliario y admitir parcialmente los cargos relacionados con Kronos, Hutchins salió airoso con una sentencia suspendida. En una importante entrevista con la revista Wired, describió su pasado criminal como un lamentable error: su principal motivación no era el dinero, sino su deseo de mostrar sus habilidades y lograr el reconocimiento de la comunidad clandestina. En la época de WannaCry, durante dos años no tuvo contacto con ciberdelincuentes y su blog MalwareTech fue leído y admirado por los expertos.

¿Esa fue la última epidemia?

Hace poco escribimos un artículo sobre ILOVEYOU, el gusano que causó una gran epidemia a principios de la década de los 2000. Tenía mucho en común con WannaCry: ambos se propagaban a través de una vulnerabilidad en Windows para la que ya había un parche disponible. Pero no todos los ordenadores se habían actualizado cuando estalló la infección. Como consecuencia de ello, hubo miles de víctimas en todo el mundo, empresas que sufrieron daños millonarios y una gran pérdida de datos de los usuarios.

Pero también existen diferencias entre ellos. Los creadores de WannaCry (supuestamente un grupo de Corea del Norte) utilizaron herramientas de hackeo genéricas que son de dominio público. ILOVEYOU simplemente eliminó algunos archivos; WannaCry exigió un rescate a los usuarios a los que les fueron robados todos sus documentos. Por suerte, los autores de WannaCry fueron demasiado buenos incorporando un interruptor de apagado que se volvió en su contra. La historia de esta epidemia también trata sobre el ingenio de los cazadores de malware capaces de coger el trabajo de otra persona, analizarlo en tiempo récord y desarrollar un mecanismo de defensa.

La epidemia de WannaCry fue analizada por decenas de empresas y recibió la máxima atención de los medios, algo que no suele ocurrir. No es muy habitual hoy en día que un ataque de ransomware a un negocio concreto obtenga una gran cobertura mediática: lo que suele suceder es que la víctima se enfrente sola a su verdugo. Por lo tanto, es importante involucrar a los mejores expertos en la operación de control de daños y no sucumbir a la extorsión. Incluso un ataque altamente sofisticado y efectivo, como es el caso de WannaCry, puede tener su talón de Aquiles.

Consejos