Wannacry

El ciberataque más duro del 2017

En cuanto al origen del virus, Putin ha dicho; "creo que la directiva de Microsoft ya ha anunciado claramente que la fuente original del virus son los servicios de inteligencia de Estados Unidos”. Esto se debe a que EternalBlue, una herramienta de pirateo informático creada por la Agencia Nacional de Seguridad  estadounidense, sirvió de base para el virus WannaCry. Entre los afectados se encuentran el sistema de sanidad pública británico, la empresa de comunicaciones Telefónica en España, el gigante petrolero chino PetroChina y la empresa automovilística francesa, Renault.

Las empresas de seguridad y los servicios de inteligencia de varios países sospechan que el  WannaCry tuvo su origen en Corea del Norte. Investigadores de empresas como Google, Symantec y Kaspersky y fuentes del Gobierno de EE UU creen que el régimen asiático podría ser el autor intelectual del ataque, vistos los códigos utilizados y las pistas que ha dejado el virus a su paso. Las pruebas aún no son concluyentes.

Una fuente del sector de seguridad anónima ha dicho; "Veo que son las mismas formas de proceder que en el ataque de diciembre de 2014, cuando el virus se infiltró dentro de los estudios de Sony Pictures [en represalia por The Interview, una sátira del líder norcoreano, Kim Jong-un]. Entonces no solo consiguieron hacerse con contenido, también desvelaron los salarios de actores y directivos de la industria del cine".Además, el grupo de análisis de amenazas de Google ha visto el mismo patrón que en el ataque virtual al banco central de Bangladesh en 2016 y a varias entidades financieras polacas el pasado mes de febrero.

Darien Huss y un colega suyo, fueron las personas capaces de frenar el macroataque WannaCry. Ambos estudiaron el procedimiento de WannaCry y vieron que al proceder a atacar un nuevo objetivo, WannaCry contactaba con una dirección de Internet, que consistía en una gran cantidad de caracteres cuyo final siempre era “gwea.com”. Dedujeron que si WannaCry no podía tener acceso a esa dirección comenzaría a funcionar de manera errante por la Red, buscando nuevos sitios que atacar, hasta terminar por desactivarse, como sucedió.

Así que se compró el dominio gwea.com. Lo adquirió en NameCheap.com por 10,69 dólares e hizo que apuntase a un servidor en Los Ángeles bajo su control para poder obtener información de los atacantes. Tan pronto como el dominio estuvo en activo pudo sentirse la potencia del ataque, más de 5.000 conexiones por segundo. Hasta que finalmente terminó por apagarse a sí mismo, como un bucle.