El ataque informático del día 12 de mayo que afectó a Telefónica, a la red de hospitales de Inglaterra y a otras grandes instituciones a lo largo del mundo tuvo su origen en un grupo hacker que trabajó en “colaboración” con la Agencia Nacional de Seguridad (NSA) de Estados Unidos, según informa la firma de seguridad Avast.
En total se detectaron más de 70.000 casos (algunos analistas incluso suben ese número a cerca de 100.000) a lo largo del mundo, aunque los blancos principales de los ataques fueron Rusia, Ucrania y Taiwan; en esos países fue donde se detectaron la mayoría de las activaciones de WannaCry, el software utilizado para mantener como rehenes los computadores infectados.
El ransomware WannaCry fue creado por Equation Group, un colectivo del que se sospecha hacen el “trabajo sucio” para la NSA y han sido catalogados por Kaspersky como uno de los colectivos de hackers más sofisticados del mundo. Sin embargo, en agosto de 2016 un grupo llamado ShadowBrokers anunció haber robado el software de Equation, difundiendo de manera pública esas herramientas. No se sabe si ShadowBrokers está detrás del ataque o no, pero varios analistas de seguridad han confirmado que el software utilizado para el ataque proviene del código de Equation Group.
A raíz de lo sucedido, Microsoft lanzó el día viernes un nuevo parche de seguridad para Windows que ataca específicamente la vulnerabilidad que permitió que WannaCry se ejecutara con éxito en los computadores. Lo interesante de esto es que, dada la gravedad de la situación, Microsoft liberó actualizaciones para sistemas operativos obsoletos, como Windows XP, Windows 8 y Windows Server 2003.
Si bien la situación -al menos de manera pública- parece haberse normalizado, habrá que seguir el caso de forma atenta durante los próximos días y no cabe duda que lo del 12 de mayo es una buen llamado de atención para todos los involucrados en la administración de redes informáticas.
Y por supuesto, nada de esto pasaba si los Windows del mundo hubieran estado actualizados con el parche lanzado en marzo de 2017, que precisamente corregía la vulnerabilidad que permitió que WannaCry hiciera de las suyas.
https://www.fayerwayer.com/2017/05/ataque-informatico-del-12-de-mayo-esta-ligado-a-la-nsa/
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
