Han pasado siete días desde que saltaran las alarmas: el ransomware conocido ya popularmente como WannaCry desató el caos primero en Telefónica para luego dejar claro que no era un ciberataque dirigido, sino masivo. Según los últimos datos ha habido más de 300.000 máquinas afectadas en 150 países.
El ciberataque sigue extendiéndose, pero su impacto y crecimiento se han reducido de forma notable, gracias en primer lugar al descubrimiento accidental de un kill switch que lo desactivava mediante el registro de un dominio especial. La aparición de herramientas para recuperar datos tras el ataque también ha mitigado el problema, pero la amenaza no ha desaparecido.
Cuidado: el ataque sigue activo
Muchas firmas de seguridad han analizado este ataque para tratar de responder a la amenaza, y una de ellas, MalwareTech, ha ofrecido información adicional sobre la evolución de este ciberataque masivo que según sus registros ya ha afectado a más de 300.000 máquinas.
Esos datos dejan claro lo importante que ha sido este ataque de ransomware. WannaCrypt se ha extendido como la pólvora tras la infección inicial, algo que explicaban en detalle en el blog Cisco Umbrella, y lo ha hecho aprovechando que el puerto 445 que usa el servicio SMB en Windows.
Ese era el mecanismo de “contagio” de este ransomware que se aprovechaba de la vulnerabilidad que Microsoft parcheó en marzo pero que no estaba instalado aún en millones de máquinas.
De hecho aunque es cierto que el contagio se ha reducido, la actividad de WannaCry sigue siendo clara, como se puede ver en el seguimiento de MalwareTech. En dicha gráfica se aprecia como nuevos afectados por este ransomware siguen apareciendo.
Ataques que se aprovechan del primer ciberaataque
Es más, como sucede con otros malwares, otros ciberatacantes aprovechan ese código para crear variantes del original que incluyen dominios distintos para sus kill-switch, algo de lo que alertaban también en Cisco. Usan otras direcciones para recaudar los bitcoins, y como explicaban lo autores del estudio, los copiones de WannaCrypt no se complican mucho la vida.
Alert: We have fresh reports about this fake BT email that takes advantage of the global #WannaCry ransomware attack https://t.co/mOgZ3y9JY3 pic.twitter.com/ZyuhEO3sdC
— Action Fraud (@actionfrauduk) May 18, 2017
