Estaba siendo utilizado por la NSA de EE. UU.
El ataque de WannaCry de hoy parece usar un exploit de la NSA con nombre en código ETERNALBLUE, un arma de software que habría permitido a los piratas informáticos de la agencia de espionaje entrar en cualquiera de millones de computadoras con Windows al explotar una falla en cómo ciertas versiones de Windows implementaron un protocolo de red comúnmente utilizado para compartir archivos e imprimir. Aunque Microsoft corrigió la vulnerabilidad ETERNALBLUE en una actualización de software de marzo, la seguridad siempre allí dependía de que los usuarios de computadoras mantuvieran sus sistemas actualizados con las actualizaciones más recientes. Claramente, como siempre ha sido el caso, muchas personas (incluso en los gobiernos) no están instalando actualizaciones. Antes, habría sido un alivio saber que solo los enemigos de la NSA tendrían que temer que ETERNALBLUE los usara, pero desde el momento en que la agencia perdió el control de su propia hazaña el verano pasado, no hubo tal seguridad.
EternalBlue aprovecha la vulnerabilidad MS17-010 en la implementación de Microsoft del protocolo Server Message Block (SMB). Microsoft lanzó un aviso “Crítico”, junto con un parche de actualización para tapar la vulnerabilidad un mes antes, el 14 de marzo de 2017. Este parche solo reparó los sistemas operativos Windows Vista y posteriores, pero no el antiguo Windows XP.
- ¿Por qué los estudiantes universitarios no van a los sitios web de los periódicos del campus?
- ¿Es Sputnik una fuente de noticias confiable?
- ¿Qué tan bueno es el periodismo en LSR?
- ¿Están los medios tratando de comenzar una guerra racial? Más específicamente entre la policía y los negros.
- ¿Qué preguntas interesantes deben hacerse a los CEO durante una entrevista?
El ransomware utiliza una vulnerabilidad revelada por primera vez al público como parte de un alijo filtrado de documentos relacionados con la NSA para infectar PC con Windows y cifrar su contenido, antes de exigir pagos de cientos de dólares por la clave para descifrar archivos.
Los creadores de esta pieza de ransomware aún son desconocidos, pero WanaCrypt0r 2.0 es su segundo intento de extorsión cibernética. Una versión anterior, llamada WeCry, fue descubierta en febrero de este año: pedía a los usuarios 0.1 bitcoin (actualmente con un valor de $ 177, pero con un valor fluctuante) para desbloquear archivos y programas.
¿Cómo está vinculada la NSA a este ataque?
Una vez que un usuario ha instalado involuntariamente este sabor particular de ransomware en su propia PC, intenta extenderse a otras computadoras en la misma red. Para hacerlo, WanaCrypt0r utiliza una vulnerabilidad conocida en el sistema operativo Windows, saltando entre PC y PC. Esta debilidad se reveló por primera vez al mundo como parte de una gran filtración de herramientas de piratería de la NSA y debilidades conocidas por un grupo anónimo que se llamó a sí mismo “Corredores de la sombra” en abril.
¿Quiénes son los corredores de la sombra? ¿Estaban detrás de este ataque?
De acuerdo con casi todo lo demás en el mundo de la guerra cibernética, la atribución es complicada. Pero parece poco probable que los Shadow Brokers estuvieran directamente involucrados en el ataque del ransomware: en cambio, algún desarrollador oportunista parece haber detectado la utilidad de la información en los archivos filtrados y ha actualizado su propio software en consecuencia. En cuanto a los Shadow Brokers, nadie lo sabe realmente, pero los dedos señalan a los actores rusos como posibles culpables.
Fuente: The Guardian, Wikipedia, zerohedge internet
El ataque de ransomware “peor registrado jamás” ataca a más de 57,000 usuarios en todo el mundo, utilizando herramientas filtradas por la NSA
¿Qué es el ransomware ‘WanaCrypt0r 2.0’ y por qué está atacando al NHS?
Ataque de ransomware WannaCry – Wikipedia
