Detienen la propagación global del ransomware WannaCry comprando un dominio de 10 euros

Archivado
1, 2, 3
El pasado viernes un ciberataque masivo con ransomware afectó a organizaciones de todo el mundo incluyendo a Telefónica en España, el Servicio Nacional de Salud del Reino Unido o FedEx en Estados Unidos. El responsable de este ataque es una variante de WannaCry, un malware especialmente virulento que se aprovecha de una vulnerabilidad que le permite ejecutar comandos remotos a través de Samba (SMB) y distribuirse al resto de máquinas de una red corporativa.

A pesar de que la vulnerabilidad que explota WannaCry ya era conocida y fue solucionada en el boletín de seguridad de Microsoft MS17-010 el pasado 14 de marzo, la expansión de WannaCry parecía imparable. Pero un par de investigadores británicos han encontrado en el código del ransomware una especie de kill-switch, un interruptor de emergencia virtual que consiste en la conexión a un dominio. Si WannaCry conseguía conectarse se dormía, en caso contrario seguía propagándose.

El dominio en cuestión (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) no estaba registrado, así que los investigadores decidieron comprarlo por un coste de aproximadamente 10 euros y redirigir todas sus conexiones a un servidor sinkhole, una técnica que da respuesta a una petición de DNS devolviendo una IP falsa o nula. Con el dominio activo todas las peticiones de WannaCry (más de 5.000 por segundo) son atendidas y el malware deja de reproducirse, evitando así la propagación al resto de equipos de una red. Héroes sin capa que han confesado serlo por accidente.

Imagen Parte del código de WannaCry donde intenta conectarse al dominio, en función de la respuesta se replica o no.

La expansión de WannaCry se ha detenido, pero la amenaza persiste. Mañana mismo podría aparecer una nueva variante que apuntara a otro dominio o sin kill-switch y el daño será el mismo o mayor. Para prevenir un ataque de este u otro tipo de malware se recomienda actualizar los sistemas a su última versión o parchear según informa el fabricante. Sin embargo, el riesgo cero no existe, así que también es aconsejable guardar una copia de seguridad de los datos en un medio que no este conectado a Internet.

Fuente: Talos Intelligence
Una de cal y una de arena para esos investigadores. Si no hubieran anunciado su hayazgo seguramente les hubiera costado a los hackers saber porque su virus dejo de funcionar de repente. Ahora en menos de 1 dia saben a que se debe y solo tienen que modificar el virus y empezar de nuevo.
Opino como Pequadt.

Benzo escribió:La expansión de WannaCry se ha detenido, pero la amenaza persiste. Mañana mismo podría aparecer una nueva variante que apuntara a otro dominio o sin kill-switch y el daño será el mismo o mayor.


Precisamente por esto creo que no deberían haber hecho pública esta información.
La seguridad por oscuridad no es seguridad.
Pequadt escribió:Una de cal y una de arena para esos investigadores. Si no hubieran anunciado su hayazgo seguramente les hubiera costado a los hackers saber porque su virus dejo de funcionar de repente. Ahora en menos de 1 dia saben a que se debe y solo tienen que modificar el virus y empezar de nuevo.


Tontería. Está claro que ese código está ahí adrede. Lo que hay que pensar es con qué objetivo lo han hecho...
Pequadt escribió:Una de cal y una de arena para esos investigadores. Si no hubieran anunciado su hayazgo seguramente les hubiera costado a los hackers saber porque su virus dejo de funcionar de repente. Ahora en menos de 1 dia saben a que se debe y solo tienen que modificar el virus y empezar de nuevo.


Si saben hacer tal cosa dudo que hubieran tardado en saber que ha pasado, por no decir que ellos mismos saben las formas posibles de pararlo
Pues vaya chapuzas...
Chicos esto estaba puesto así aposta y como bien dice el compañero mas arriba:
"Si saben hacer tal cosa dudo que hubieran tardado en saber que ha pasado, por no decir que ellos mismos saben las formas posibles de pararlo".

La pregunta es ¿ porque pusieron los crackers un kill-switch en su propio código?

¿por si se les salia de control y se propagaba más de lo previsto por sitios indebidos?

yo más bien creo que paso algo asi...
"Oye Yun hemos creado tal monstruo que que pasa si se nos sale de madre y afecta a los servidores DNS y cae todo Internet o peor que pasa si afecta al ejercito de nuestro país yo no quiero morir tan joven ¿ponemos un botón de apagado por si acaso?"


Algo así debieron pensar [carcajad] el problema es que la solución es tan fácil como eliminar un par de lineas de código y vuelta a empezar.

Saludos
Mi apuesta personal a que se trata de un kill-switch incluido de forma expresa. Nadie con los conocimientos necesarios para crear algo como esta variante de WannaCry se le pasa por alto esto. Me inclino a pensar como @Perfect Ardamax, pero yo no creo que tuvieran intención de llegar a registrar el dominio (seria un riesgo bastante alto), creo que esperaban a que alguien se diera cuenta tarde o temprano.
Después está la gente superlista, que dicen lo de siempre. Dicen que porque voy a actualizar Windows y demás tonterías.
Ayer lo de HP y antes de ayer este ataque... luego cuando después de 100 noticias de virus de Windows salga 1 de un "virus" de Apple no dudéis en entrar para echar mierda...
Se detiene la propagación (de momento), pero los equipos infectados lo siguen estando...:(
Muchas gracias por hacerme trabajar el puto sábado y gracias a mi empresa por ni pagármelo... Que les jodan a estos delincuentes...
La teoría es que lo pusieron para dificultar el análisis del virus cuando esté en un "sandbox".

https://www.malwaretech.com/2017/05/how ... tacks.html
In certain sandbox environments traffic is intercepted by replying to all URL lookups with an IP address belonging to the sandbox rather than the real IP address the URL points to, a side effect of this is if an unregistered domain is queried it will respond as it it were registered (which should never happen).

I believe they were trying to query an intentionally unregistered domain which would appear registered in certain sandbox environments, then once they see the domain responding, they know they’re in a sandbox the malware exits to prevent further analysis. This technique isn’t unprecedented and is actually used by the Necurs trojan (they will query 5 totally random domains and if they all return the same IP, it will exit); however, because WannaCrypt used a single hardcoded domain, my registartion of it caused all infections globally to believe they were inside a sandbox and exit…thus we initially unintentionally prevented the spread and and further ransoming of computers infected with this malware. Of course now that we are aware of this, we will continue to host the domain to prevent any further infections from this sample.
P2501 está baneado por "clon de usuario baneado"
bill gates escribió:Muchas gracias por hacerme trabajar el puto sábado y gracias a mi empresa por ni pagármelo... Que les jodan a estos delincuentes...


León? Empresa ? no creo que hubiera algo realmente interesante que atacar en ese pueblo ... xD

P.d : soy de ahí, aunque me cueste decirlo ... ;)
Qué tipo de catetos contratan las empresas que abren correos sin criterio ? xD
dogboyz escribió:Ayer lo de HP y antes de ayer este ataque... luego cuando después de 100 noticias de virus de Windows salga 1 de un "virus" de Apple no dudéis en entrar para echar mierda...


Una noticia donde se ha demostrado la vulnerabilidad tecnológica a nivel mundial y por extensión tu propia seguridad (y no hablo de perder fotos) y tú pensando que esto es algo de ventanas contra manzanas. Porque tiene que haber de todo en este mundo.
mientras tanto, todas las empresas de administracion de sistemas (mantenimiento informatico) haciendo el agosto por las llamadas de los clientes asustados para que les actualicen todo a la ultima version, y les revisen toda la seguridad.


dogboyz escribió:luego cuando después de 100 noticias de virus de Windows salga 1 de un "virus" de Apple no dudéis en entrar para echar mierda...


Las hay a punta pala. Windows10 es mas seguro que cualquier version de MacOS y se encuentras bastantes menos vulnerabilidades criticas. Por otro lado, es logico que el sistema operativo mas utilizado a nivel empresa y particular sea el que mas se preocupe por la seguridad, porque cualquier repercusion mediatica al respecto les afecta mucho. Repercusion mediatica que no existe con sistemas minoritarios, y que por tanto apenas les afecta (economicamente, imagen)

El tema de que no veas estas noticias por el telediario o en noticias de portada es porque no tienen interes apenas por que casi nadie utiliza este sistema operativo.

Decir lo que estas diciendo es exactamente la misma demagogia barata que decir que iOS tiene muchos mas fallos que windows phone, cuando todos sabemos que cada uno tiene sus fallos, y todos son importantes. El tema es que, una vulnerabilidad critica en iOS se publicita hasta en el supermercado de la esquina, y una en windows phone solo se enteran los usuarios de 4 blogs especializados.
P2501 está baneado por "clon de usuario baneado"
m0wly escribió:mientras tanto, todas las empresas de administracion de sistemas (mantenimiento informatico) haciendo el agosto por las llamadas de los clientes asustados para que les actualicen todo a la ultima version, y les revisen toda la seguridad.

[tomaaa]
Por cierto, para el que quiera informacion de primera mano en español:

http://www.elladodelmal.com/2017/05/el- ... nacry.html
sev39lora escribió:Después está la gente superlista, que dicen lo de siempre. Dicen que porque voy a actualizar Windows y demás tonterías.


Hay peores, gente que se queja porque windows los obliga a actualizar sin preguntarles...
Ahh pero cuando pasa algo son los primeros en llorar y repartir mierda a microsoft, y en este foro hay muchos.
P2501 escribió:
m0wly escribió:mientras tanto, todas las empresas de administracion de sistemas (mantenimiento informatico) haciendo el agosto por las llamadas de los clientes asustados para que les actualicen todo a la ultima version, y les revisen toda la seguridad.

[tomaaa]


Las empresas de sistemas, haremos lo que llevamos pidiendo a los clientes años. Tenemos no uno ni dos, si no muchos clientes que aún usan XP y no por falta de dinero precisamente, si no porque, "ese ordenador funciona perfectamente".

Afortunadamente, de todas las empresas que llevamos no ha salido ninguna afectada pero no me entristecería que lo hicieran (tenemos copias diarias/semanales y mensuales a servidores externos). Hemos tenido 5 casos de ransomware ya partir de ahí fíjate que incrementaron la inversión en copias (el único método 100%) y en seguridad.
P2501 escribió:
bill gates escribió:Muchas gracias por hacerme trabajar el puto sábado y gracias a mi empresa por ni pagármelo... Que les jodan a estos delincuentes...


León? Empresa ? no creo que hubiera algo realmente interesante que atacar en ese pueblo ... xD

P.d : soy de ahí, aunque me cueste decirlo ... ;)
Qué tipo de catetos contratan las empresas que abren correos sin criterio ? xD


Hombre, mismamente CDS y la gran mayoría de las del parque tecnológico son empresas informáticas.
no se, pero yo creo que esto, tristemente, lo vamos a ver de manera cada vez mas frecuente en los proximos años.
Veremos, pero a medida que todo se vaya conectando a internet (ascensores, televisores, neveras, aparatos para la gestion de la insulina, calefacciones, coches, aviones...), cada vez dependamos mas de maquinas conectadas a internet para hacer cualquier cosa, y el software y maquinas implicadas en gestionar todo esto sea mas grande y complejo, y mas y mas gente tenga acceso a internet y a informacion para formarse ilimitada, pues todo a punta a que los ataques informaticos (terroristas como los llaman algunos), sean cada vez mas frecuentes.
largeroliker escribió:
Pequadt escribió:Una de cal y una de arena para esos investigadores. Si no hubieran anunciado su hayazgo seguramente les hubiera costado a los hackers saber porque su virus dejo de funcionar de repente. Ahora en menos de 1 dia saben a que se debe y solo tienen que modificar el virus y empezar de nuevo.


Tontería. Está claro que ese código está ahí adrede. Lo que hay que pensar es con qué objetivo lo han hecho...


Por si se infectaban ellos? [qmparto]

Salu2 :cool:
MICROSOFT LANZA ACTUALIZACIÓN DE EMERGENCIA PARA WINDOWS XP, WINDOWS SERVER 2003 Y WINDOWS 8.0

https://blogs.technet.microsoft.com/msr ... t-attacks/


"También sabemos que algunos de nuestros clientes están ejecutando versiones de Windows que ya no reciben soporte principal. Teniendo en cuenta el impacto potencial para los clientes y sus negocios, tomamos la decisión de hacer la actualización de seguridad para las plataformas en soporte personalizado, Windows XP, Windows 8 y Windows Server 2003, ampliamente disponibles para su descarga."

En pocas palabras al ver que XP sigue presente en el 10% de equipos y ver que les podían caer demandas gordas pues la vulnerabilidad se conocía desde 2013 cuando Edward Snowden expuso a la NSA y sus herramientas (cuando recordemos XP y Windows 8.0 aun tenia soporte técnico 8 de abril de 2014 para XP y 12 de enero de 2016 para W8.0) han decidido actualizarlo corriendo es detener poca vergüenza conoces un agujero de seguridad grave desde 2013 y lo parcheas en marzo de este año (Claro esta solo para Windows Vista W7, W8.1 y W10). Pues muchas empresas (que no habían instalado las actualizaciones o que seguían con XP) se han comido el ransomware con patatas.

Saludos
Todo esto me recuerda a Misión Imposible II con la Quimera y el Belerofonte [+risas] O el virus T y su cura
Pequadt escribió:Una de cal y una de arena para esos investigadores. Si no hubieran anunciado su hayazgo seguramente les hubiera costado a los hackers saber porque su virus dejo de funcionar de repente. Ahora en menos de 1 dia saben a que se debe y solo tienen que modificar el virus y empezar de nuevo.


Crees que el código se genera sólo ? Claro que los hackers lo saben, si lo han escrito ellos [qmparto]
Peter Anderson escribió:Opino como Pequadt.

Benzo escribió:La expansión de WannaCry se ha detenido, pero la amenaza persiste. Mañana mismo podría aparecer una nueva variante que apuntara a otro dominio o sin kill-switch y el daño será el mismo o mayor.


Precisamente por esto creo que no deberían haber hecho pública esta información.
Pequadt escribió:Una de cal y una de arena para esos investigadores. Si no hubieran anunciado su hayazgo seguramente les hubiera costado a los hackers saber porque su virus dejo de funcionar de repente. Ahora en menos de 1 dia saben a que se debe y solo tienen que modificar el virus y empezar de nuevo.



No
Esa información debe ser publica para ser útil.

En muchisimas empresas las cosas mas criticas no tienen conexion a internet o la tienen muy limitada así que si esos equipos se infectan (que solo ahce falta que le entre a un equipos de la red el virus por correo u otros medios) esos equipos no veran el dominio y se infectaria la red.
De esta manera los administradores de cada sitio pueden poner un servido al que apunte la red interna con el mismo nombre, de manera que aunque no responda el servidor de internet lo hará el local y se evita la propagacion.


Un saludo
Y la de cosas que serán vuelnerables y nosotros sin saberlo....
Perfect Ardamax escribió:Mencionar a Perfect ArdamaxCitar
MICROSOFT LANZA ACTUALIZACIÓN DE


¿Pero qué bobadas dices? Wiki leaks hizo la vulnerabilidad pública hace un mes, cuando ya llevaba un mes tapada.

Si me dieran un euro por cada hater ignorante de Microsoft que me encuentro...
mozkor17 escribió:
dogboyz escribió:Ayer lo de HP y antes de ayer este ataque... luego cuando después de 100 noticias de virus de Windows salga 1 de un "virus" de Apple no dudéis en entrar para echar mierda...

Una noticia donde se ha demostrado la vulnerabilidad tecnológica a nivel mundial y por extensión tu propia seguridad (y no hablo de perder fotos) y tú pensando que esto es algo de ventanas contra manzanas. Porque tiene que haber de todo en este mundo.
La verdad es que si, no creo que nadie este pensando ahora en una competicion tan absurda, el tema considero que es bastante grave para andar con pique absurdos.
Pequadt escribió: Si no hubieran anunciado su hayazgo seguramente les hubiera costado a los hackers saber porque su virus dejo de funcionar de repente


Hombre, han sido los "hackers" los que han puesto este sistema para detenerlo. Pero aun asi, les bastaria con ejecutar el codigo desde el ide para ver por lo que no se ejecuta
@mku32
Primeramente si me he equivocado pues lo siento. De todas formas esas no son formas....

Segundo que yo sepa las herramientas que utiliza/utilizaba la NSA se empezaron a vender ya por 2014 aunque si que es cierto que en agosto del año pasado salio a la luz "un pack" por llamarlo de alguna forma . ¿Estas pues diciéndome que las herramientas utilizadas son las que se liberaron este verano? (de ser así agradecería información al respecto de lo que dices).
Porque ambos sabemos que una vez la herramienta se vende esta se analiza (ingeniera inversa de software) así pues la vulnerabilidad lejos de ser conocida hace un mes como dices era ya conocida en el mejor de los casos agosto del año pasado. Y te reitero que ya se empezaron a vender herramientas de la NSA desde 2014 y salvo que me puedas demostrar que la herramienta que aprovechaba dicho agujero de seguridad se libero hace un mes como tú dices tú argumento se cae a pedazos.
Si puede que yo me haya colado con las fechas (y ni XP ni Windows 8.0 tuvieran ya soporte) pero tú creo (si estoy equivocado por favor pon información) que también has metido la pata porque la vulnerabilidad se conoce desde el mismo preciso instante que que sale a la luz la herramienta para aprovecharla y te reitero que llevan vendiéndose herramientas de la NSA desde 2014 (el ultimo pack que yo sepa salio este pasado verano).

Y Tercero aunque dichas herramientas fueran las liberadas este pasado año... PD: Si me dieran a mi un 1€ por cada usuario que he visto a lo largo de estos 6 años saltar a la mínima oportunidad.... [fiu] [fiu] (y ojo que a mi solo me habrá pasado como media docena de veces en estos 6 años que llevo registrado).

edito3: parece que también hubo una venta en diciembre de 2016

Saludos
Es verdad que la gente que tiene información importante en sus negocios, no se gastan dinero, en tener unos servidores, para hacer copias de seguridad de sus documentos.

Nunca en su intranet, se tiene que usar el mismo os, en el ordenador cliente, que en el servidor. Porque si se infecta el cliente y la información está en el servidor, mejor que se infecte el cliente. Además, nunca hay que hacer, que los servidores se puedan usar fuera de su red.
tendremos que llamar a Angelina jolie

Imagen


[qmparto] [qmparto] [qmparto] [qmparto]
sev39lora escribió:Nunca en su intranet, se tiene que usar el mismo os, en el ordenador cliente, que en el servidor. Porque si se infecta el cliente y la información está en el servidor, mejor que se infecte el cliente. Además, nunca hay que hacer, que los servidores se puedan usar fuera de su red.


Eso que dices no tiene sentido, puedes tener clientes con Windows y servidores Linux con samba sirviendo ficheros a los usuarios y se hubieran infectado exactamente igual, ya que el cliente infectado tiene acceso a esos archivos y los infectaria de todas formas.
Al final todo lo que pedían ... X-D
P2501 escribió:
Mr.Gray Fox escribió:
León? Empresa ? no creo que hubiera algo realmente interesante que atacar en ese pueblo ... xD

P.d : soy de ahí, aunque me cueste decirlo ... ;)
Qué tipo de catetos contratan las empresas que abren correos sin criterio ? xD


Hombre, mismamente CDS y la gran mayoría de las del parque tecnológico son empresas informáticas.

Y suma el Incibe. En mi caso es otro tipo de empresa multinacional muy vinculada a la informática y ya hemos tenido problemas derivados del ataque así que...
Yo personalmente creo que el código ese estaba ahí para que la gente que ha lanzado el ataque pudiera lanzar un último mensaje de extorsión en plan, si nos pagáis haremos que pare todo el "caos mundial".

Lo cual me lleva a pensar que esta gentuza, o bien han sido unos necios absolutos y se han pensado que eran los más listos del mundo (literalmente), o bien se les ha ido el ataque de las manos totalmente. No sé... ¿Verdaderamente se pensaban que nadie iba a descubrir el código de desactivación a escala mundial? o, ¿En qué estaban pensando?...

Y bueno, dado el nivel de daño generado, que no tengan duda alguna de que van a poner el cartel de "Wanted, dead or alive" en plan película western y los van a buscar hasta debajo de las piedras. Esta gente tiene los días contados ya.
frannet escribió:tendremos que llamar a Angelina jolie

Imagen


[qmparto] [qmparto] [qmparto] [qmparto]


Mejor a Scarlet
Imagen
Y por cierto... ¡qué mal andan de fuentes de vídeo los documentalistas de RTVE que tienen que poner escenas de Mr. Robot con FSociety!
@Pararegistros
Por desgracia no es solo TVE el nivel de patetismo de los noticiarios Españoles en temas de informática y ciencia es incluso superior a la media (es para hacérselo mirar).

Y lo peor es que "cuela" en la inmensa mayoría.

Saludos
Pero peor ayer que le colaron a A3 el meme del negro del WhatsApp. XD
Madre mía, todo esto me suena a ciencia ficción... Al final pasará como en las películas, que una inteligencia artificial se adueñará de todos los ordenadores del planera y nos devolverá al siglo diecinueve...
@Perfect Ardamax

Gracias por la info, compañero. Yo uso XP, así que lo instalaré.
Banshee2x escribió:
sev39lora escribió:Nunca en su intranet, se tiene que usar el mismo os, en el ordenador cliente, que en el servidor. Porque si se infecta el cliente y la información está en el servidor, mejor que se infecte el cliente. Además, nunca hay que hacer, que los servidores se puedan usar fuera de su red.


Eso que dices no tiene sentido, puedes tener clientes con Windows y servidores Linux con samba sirviendo ficheros a los usuarios y se hubieran infectado exactamente igual, ya que el cliente infectado tiene acceso a esos archivos y los infectaria de todas formas.


Me refiero que si el servidor no se infecta, aunque contenga el archivo infectado, es más fácil recuperar el cliente, que un servidor infectado y encriptado. Además, creo que hay software que solo copia al servidor, solo los archivos modificados y si se busca desde cuando se infectó, hasta el momento crítico, es más fácil desinfectar el servidor.
sev39lora escribió:Me refiero que si el servidor no se infecta, aunque contenga el archivo infectado, es más fácil recuperar el cliente, que un servidor infectado y encriptado.


Ahh vale, no lo había entendido así, entonces lo que no tiene sentido era mi respuesta anterior. En eso tienes toda la razón.
Parece mentira que estemos tan sobre expuestos...
dios mio esta noticia suena a chiste [+risas]
difusal escribió:
sev39lora escribió:Después está la gente superlista, que dicen lo de siempre. Dicen que porque voy a actualizar Windows y demás tonterías.


Hay peores, gente que se queja porque windows los obliga a actualizar sin preguntarles...
Ahh pero cuando pasa algo son los primeros en llorar y repartir mierda a microsoft, y en este foro hay muchos.


Yo me quejo de que se me actualice algo sin preguntar. Por supuesto.

Que me lo proponga? Perfecto. Si yo digo que no, es mi responsabilidad.
Pero que actualice porque le da la puta gana es una guarrada. Imagínate que me actualizan de XP a Vista sin avisar. Pues me cago en sus muertos varias veces.
103 respuestas
Archivado
1, 2, 3
Volver a Internet