El ataque con ransomware a Telefónica se revela como un fenómeno global

Alejo I
39 58 118
Noticias » Internet
Actualización: Según SecureList se trata de un ataque masivo y global. La compañía confirma que Rusia se está llevando con mucha diferencia la peor parte en términos de infecciones individuales, seguida de Ucrania, India, Taiwán y Tayikistán. En total SecureList señala que ha detectado 45.000 ataques del ransomware WannaCry en 74 países.



El diario The New York Times aporta algo más de información sobre las raíces técnicas del ransomware. Según fuentes del ámbito de la ciberseguridad, parece que WannaCry se vale para infectar a sus víctimas de una vulnerabilidad descubierta y desarrollada por el Equation Group, una entidad relacionada con la Agencia de Seguridad Nacional estadounidense o NSA y que ha sido descrita como uno de los ciberatacantes más sofisticados del mundo. Sus herramientas y vulnerabilidades fueron robadas y filtradas por un segundo grupo de filiación disputada llamado Shadow Brokers. En manos de cibercriminales, esta vulnerabilidad en cuestión habría hecho posible la explosiva reproducción de WannaCry.

Noticia original: La BBC y otros medios del Reino Unido señalan que un número indeterminado de hospitales de Londres, Blackburn, Nottingham, Cumbria y Hertfordshire han sido víctimas de un gran ciberataque que según los primeros indicios guarda relación directa con el que este mediodía ha golpeado a Telefónica y otras empresas españolas. Todos los centros afectados por ahora pertenecen al Servicio Nacional de Salud (NHS por sus siglas en inglés), equivalente al Sistema Nacional de Salud de España.

La situación en los hospitales afectados está siendo lo suficientemente mala como para solicitar a la gente que no acuda a las salas de urgencias, remitiendo a los ciudadanos al teléfono de consultas o al número de emergencias en caso de sufrir problemas realmente graves.

De acuerdo con la información disponible en estos momentos, el ataque se activó a las 12:30 de la tarde hora local. Primero se detectaron problemas con los servidores del correo electrónico, seguidos de caídas en sistemas clínicos y de pacientes. En las pantallas de los ordenadores aparece un mensaje pidiendo un rescate en Bitcoins a cambio de desbloquear los contenidos de los ordenadores afectados, inaccesibles debido al cifrado introducido por el ransomware.

El mensaje en cuestión muy similar al recibido por Telefónica si se compara con las imágenes publicadas en medios. En él se exige el pago de un rescate anónimo de 300 dólares por equipo para eliminar el cifrado de los datos secuestrados por el ransomware. En varias fotografías se puede apreciar que incluso coinciden las direcciones para enviar el rescate, lo que da a entender que se trata del mismo atacante.

Varias de las cuentas utilizadas para exigir el pago del rescate han recibido ingresos.

Según MalwareHunterTeam, se trata de un ataque masivo e internacional. Rusia es el primer país por número de infecciones, seguido por Taiwán y España (aunque parece que los ataques en España y el Reino Unido están teniendo mayor repercusión en cuanto a las entidades afectadas). Por el momento se desconoce el origen del ataque.

El periódico El País, citando fuentes de la ciberseguridad española, señala que "los creadores del ataque contra Telefónica se basaron en filtración de Wikileaks Vault 7", aunque este es otro dato que todavía debe ser confirmado.

Se desconoce si el ransomware fue enviado de forma directa por los atacantes o si por el contrario cruzó sistemas y fronteras de forma imprevista por sus responsables. Sea como sea, las características del ataque de hoy son extremadamente inusuales. Por regla general los cibercriminales involucrados en este tipo de sucesos prefieren extorsionar a empresas pequeñas y medianas de sectores concretos, sabedores de que es mucho más fácil que no tengan copias de seguridad al día y de que estén más dispuestas a pagar el rescate. Atacar a gigantes como Telefónica o el sistema de salud británico es casi temerario, puesto que incrementa su perfil de forma exponencial y atrae más atención de la deseada.
118 comentarios
  1. Y aqui empieza ofcialmente la primera guerra mundial cibernetica.
  2. SashaX escribió:Y aqui empieza ofcialmente la primera guerra mundial cibernetica.


    Aquí no hay estados enfrentándose, es terrorismo cibernético.
  3. Manint escribió:
    SashaX escribió:Y aqui empieza ofcialmente la primera guerra mundial cibernetica.


    Aquí no hay estados enfrentándose, es terrorismo cibernético.

    Que no hay estados enfrentándose? [qmparto]
  4. SashaX escribió:Y aqui empieza ofcialmente la primera guerra mundial cibernetica.


    Guerra mundial?? Estos son unos putos hackers intentando sacar tela y ya está...
  5. Elotrolado.net escribió:Noticia en desarrollo.


    Clicks, clicks, dadme clicks...

    Y lo peor es que no les dará ni vergüenza...
  6. Manint escribió:
    SashaX escribió:Y aqui empieza ofcialmente la primera guerra mundial cibernetica.


    Aquí no hay estados enfrentándose, es terrorismo cibernético.


    Todo apunta a que el ataque se ha realizado desde China, pero no tiene porque estar el gobierno detrás de el....
  7. ... y porqué estas noticias no salen en los telediarios??
    [sati]
  8. anabela111023 escribió:... y porqué estas noticias no salen en los telediarios??
    [sati]


    Sí que ha salido, al menos en a3, con monitores mostrando el negro de whatsapp en prime time XD XD XD
  9. (imagen)
  10. Bueno, más que un ataque es una infección. El típico usuario que ha descargado lo que no debía y se ha extendido por la red interna. Como muchas empresas usan servicios privados de movistar, se ha propagado por dichas VPN afectando a otras empresas.
    Vamos, un marrón enorme porque dicen que incluso se han reventado los backups [+risas] .
Ver más comentarios »