El ataque de ransomware WannaCry fue un ataque cibernético mundial en mayo de 2017 por parte del gusano criptográfico WannaCry ransomware , que se dirigió a las computadoras que ejecutan el sistema operativo Microsoft Windows mediante el cifrado de datos y exigiendo pagos de rescate en la criptomoneda Bitcoin . [5] Se propagó a través de EternalBlue , un exploit desarrollado por la Agencia de Seguridad Nacional (NSA) de los Estados Unidos para sistemas Windows más antiguos. EternalBlue fue robado y filtrado por un grupo llamado The Shadow Brokers al menos un año antes del ataque. Mientras Microsoft había lanzado parches anteriormente para cerrar el exploit, gran parte de la propagación de WannaCry procedía de organizaciones que no los habían aplicado o que usaban sistemas Windows más antiguos que ya habían llegado al final de su vida útil . Estos parches eran imprescindibles para la seguridad cibernética de las organizaciones, pero muchos no se implementaron debido a la ignorancia de su importancia. Algunos han afirmado la necesidad de un funcionamiento las 24 horas del día, los 7 días de la semana, la aversión a correr el riesgo de que las aplicaciones que antes funcionaban se estropeen debido a los cambios de parches, la falta de personal o tiempo para instalarlas, u otras razones.
El ataque comenzó a las 07:44 UTC del 12 de mayo de 2017 y se detuvo unas horas más tarde a las 15:03 UTC por el registro de un interruptor de apagado descubierto por Marcus Hutchins . El interruptor de apagado evitó que las computadoras ya infectadas se cifraran o propagaran más WannaCry. [6] Se estima que el ataque afectó a más de 200 000 computadoras en 150 países, con daños totales que oscilan entre cientos de millones y miles de millones de dólares . Los expertos en seguridad creían, a partir de la evaluación preliminar del gusano, que el ataque se originó en Corea del Norte o en agencias que trabajan para el país.
En diciembre de 2017, Estados Unidos y el Reino Unido afirmaron formalmente que Corea del Norte estaba detrás del ataque. [7]
Una nueva variante de WannaCry obligó a Taiwan Semiconductor Manufacturing Company (TSMC) a cerrar temporalmente varias de sus fábricas de fabricación de chips en agosto de 2018. El virus se propagó a 10 000 máquinas en las instalaciones más avanzadas de TSMC. [8]
WannaCry es un criptogusano ransomware , que apuntaba a las computadoras que ejecutan el sistema operativo Microsoft Windows cifrando (bloqueando) los datos y exigiendo pagos de rescate en la criptomoneda Bitcoin . El gusano también se conoce como WannaCrypt, [9] Wana Decrypt0r 2.0, [10] WanaCrypt0r 2.0, [11] y Wanna Decryptor. [12] Se considera un gusano de red porque también incluye un mecanismo de transporte para propagarse automáticamente. Este código de transporte busca sistemas vulnerables, luego usa el exploit EternalBlue para obtener acceso y el DoublePulsar herramienta para instalar y ejecutar una copia de sí mismo. [13] Las versiones 0, 1 y 2 de WannaCry se crearon con Microsoft Visual C++ 6.0 . [14]
EternalBlue es una explotación de la implementación de Microsoft de su protocolo Server Message Block (SMB) lanzado por The Shadow Brokers . Gran parte de la atención y los comentarios en torno al evento se debieron al hecho de que la Agencia de Seguridad Nacional de EE. UU. (NSA) (de quien probablemente se robó el exploit) ya había descubierto la vulnerabilidad, pero la utilizó para crear un exploit para su propio trabajo ofensivo . , en lugar de informarlo a Microsoft. [15] [16] Microsoft finalmente descubrió la vulnerabilidad, y el martes 14 de marzo de 2017, emitieron el boletín de seguridad MS17-010, que detallaba la falla y anunciaba que los parchesse había lanzado para todas las versiones de Windows compatibles actualmente en ese momento, siendo estas Windows Vista , Windows 7 , Windows 8.1 , Windows 10 , Windows Server 2008 , Windows Server 2008 R2 , Windows Server 2012 y Windows Server 2016 . [17]