Cuando las brasas del incendio parecían haberse apagado, informaciones procedentes de Pekín alertan sobre una nueva mutación de WannaCry, que amenaza seguir haciendo destrozos en empresas e instituciones de Europa. Estados Unidos y Asia. El mundo respiraba el sábado aliviado cuando saltó la noticia de que un joven británico de 22 años había conseguido desactivar el ransomware. Marcus Hutchins detuvo el ciberataque global consiguiendo infectar su propio equipo y descubrir que el gusano llamaba a un dominio gwea.com que no estaba registrado. Lo registró pagando unos 11 dólares y redirigió el tráfico a un servidor de los Ángeles hasta conseguir que se desactivara. Sin embargo, todavía se desconoce como va a derivar este asunto. Es muy indicativo que instituciones como la Interpol se haya puesto el mono de trabajo para poder acabar con lo que ha definido como un ataque sin nivel de precedentes: 200.000 víctimas en 150 países. Los cálculos de la Administración del Ciberespacio china son incluso más desalentadores: 179 países y unos 230.000 ordenadores infectados.En India, el Ministerio de Home Affairs ha ordenado apagar cientos de cajeros automáticos para eludir un potencial ataque y ha instado a los bancos a actualizar el parche de seguridad.
Es un buen momento para reconstruir los hechos, de la mano de S21 Sec: “se trata de un ciberataque a escala mundial mediante una combinación de ataque de un gusano, procedente del código filtrado por Shadow Brokers del exploit EternalBlue desarrollado por la NSA, junto con un ransomware denominado WannaCry. El ataque se desplegó de forma simultánea y a nivel global, afectando a multitud de países y corporaciones en todo el mundo”.
Dicho gusano explota una vulnerabilidad (conocida como EternalBlue) en el sistema de compartición de ficheros del sistema operativo Windows (parte del protocolo SMB) que permite propagar el malware a otras máquinas que estén en la misma red que la máquina infectada (y que no estuvieran convenientemente actualizadas o protegidas contra este problema de Windows).
De acuerdo con los datos disponibles hasta el momento, la explotación de dicha vulnerabilidad habría sido encargada por la NSA a la organización Equation Group. Posteriormente, el grupo The Shadow Brokers (TSB), pudo hacerse con esta información con el fin de comercializarla y, finalmente, publicarla (hecho que ocurrió el pasado 14 de Abril).