Lo que sabemos sobre el virus con el que han atacado Teléfonica
El ataque informático que han sufrido las oficinas de Telefónica este viernes tiene nombre: ransomware. Es un tipo de malware que se caracteriza por el secuestro del ordenador, donde el atacante "bloquea" todos los archivos del disco duro y pide un rescate por ellos. Normalmente, este rescate se paga en bitcoin, la criptodivisa irrastreable con la que se suelen hacer negocios en la Deep web.
El ransomware que ha atacado Telefónica se llama WCry. Utiliza la aplicación Wanna Decryptor, que solo es una variante mejorada del malware. Esta versión es más resistente que la inicial y además, ofrece una solución en caso de que un antivirus consiga detectar y desactivar el núcleo del ransomware. Para propagarse por la red de equipos de Windows, hace uso de una vulnerabilidad de ejecución de comandos remota a través del protocolo SMB.
WCry funciona cifrando los archivos con el estándar AES-128. Después los renombra añadiéndoles la extensión .wcry. Por ejemplo, una fotografía que se llame "Verano.jpg" pasaría a llamarse "Verano.jpg.wcry". En la imagen de arriba, el ransomware que ha atacado Telefónica indica que el importe del pago subirá si no se hace antes de 2 días, 23 horas, 56 minutos y 56 segundos, así como que los archivos bloqueados serán borrados en 6 días, 23 horas, 56 minutos y 56 segundos. Abajo del todo aparece la cadena, el blockchain donde deben ser pagados los 300 dólares, que son 0,1675 bitcoin.
El ransomware utiliza un cifrado de clave única. Durante el ataque desarrolla solo una "llave", que es la misma que cifra y descifra los archivos del ordenador. Para saber cual es esa llave, almacenada en la nube y que solo los desarrolladores del malware conocen, es necesario pagar los 0,1675 bitcoin (300 dólares) que exige el rescate. Aunque existen multitud de ransomwares similares, las diferencias entre uno y otro varían entre la interfaz y el precio que exigen por desbloquear los archivos.
Telefónica, sin filtros en el correo
En un primer análisis, el grupo hacktivista La Nueve, vinculado a Anonymous, explica a este diario que "lo de Telefónica ha sido el típico ransomware a través de mail dirigido a las direcciones de correo de Telefónica. El típico phising que cualquier usuaria (sea de la empresa y ámbito que sea) se come al pulsar en el enlace o bajarse un archivo sin testarlo".
El ataque ha aprovechado un vulnerabilidad en Windows que la compañía parcheó en marzo. A la vista está que no lo hizo del todo bien. "Que Telefónica no tenga instalados los filtros de email adecuados para evitar que sus trabajadoras descarguen archivos infectados dice también mucho de esa compañía", continúa La Nueve, que explica que otras empresas han sido atacadas porque "puede afectar a todas las direcciones a las que se haya enviado y donde se hayan abierto los ficheros infectados".
Lo que sabemos sobre el virus con el que han atacado Teléfonica