Cómo un investigador anónimo ha detenido "accidentalmente" y con 10 euros el ransomware WannaCrypt

Wanna Crypt

A estas alturas lo más probable es que estés más que familiarizado con WannaCrypt, el ransomware que ayer atacaba la red interna de Telefónica y que también ha ido dejando fuera de combate a otras organizaciones por medio mundo, incluyendo varios hospitales de Reino Unido. Parecía que nos encontrábamos ante una "epidemia informática" a nivel global pero, de pronto, las infecciones parecen haberse detenido.

¿El motivo? Un investigador británico, @MalwareTechBlog en Twitter, dice haber encontrado un "kill-switch", un interruptor de apagado de emergencia, en el código del ransomware, y ha hecho uso de él. En concreto, y según él asegura al diario The Guardian, WannaCrypt incluía en una parte de su código una conexión a un dominio concreto: si se conectaba, el malware se "dormía"; si no, procedía a atacar.

El dominio no estaba registrado, así que @MalwareTechBlog decidió registrarlo. Por unos 10 euros, consiguió hacerse con dicho nombre de dominio e, inmediatamente después, comenzó a recibir a través de él numerosas peticiones de equipos infectados. Las redirige a un servidor sinkhole, a través del cual está detectando datos del ataque y enviándolos, según él asegura, al FBI. Como el ransomware detecta que hay conexión, entonces no infecta el equipo.

Captura del código donde se puede ver que WannaCrypt intenta conectarse a un dominio y, en función de la respuesta, sigue con el ataque o no.

La solución de @MalwareTechBlog nos sirve, además, para hacernos una idea de los numerosos ataques que WannaCrypt está intentando a nivel global. Con la procedencia de las solicitudes que recibe a través del dominio registrado, el investigador ha elaborado un mapa en tiempo real que muestra desde dónde se conectan los ordenadores infectados y el New York Times ha optado por enseñar en un mapa en diferido la evolución de las infecciones en todo el mundo.

La existencia de este "kill-switch" ha sido confirmada por Malwarebytes y por Talos Intelligence, perteneciente a CISCO. En el siguiente gráfico muestran cómo comenzaron a detectar un aumento de peticiones DNS sobre dicho dominio a partir de las 07.24 UTC, hasta alcanzar las 1.400 simultáneas horas más tarde:

Dominio Dns

Pero ¿ha detenido el ataque?

Infections for WannaCry/WanaDecrpt0r are down due to @MalwareTechBlog registering initial C2 domain leading to kill-switch #AccidentalHero
— Warren Mercer (@SecurityBeard) 12 de mayo de 2017

Todavía es pronto para responder, pero todo parece indicar que sí o, al menos, está ayudando a ralentizar la infección de nuevos equipos. Darien Huss, de la compañía de ciberseguridad Proofpoint, así lo asegura, y también CISCO a través de Warren Mercer, responsable técnico de Cisco Talos, y del propio análisis de Talos Intelligence que comentábamos antes. En Malwarebytes lo confirman y además lo explican así:

El WinMain de este ejecutable primero se intenta conectar al sitio web www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. No descarga nada de allí, simplemente intenta conectarse. Si se conecta, deja de ejecutarse.

Esto era probablemente una especie de kill-switch o técnica anti-sandbox. Pero, fuera lo que fuera, ha resultado contraproducente contra los autores del gusano, ya que el dominio ha sido redigirido a un sinkhole y el host en cuestión ahora resuelve una IP que hospeda un sitio web. Por tanto, nada pasará a los nuevos sistemas en los que se ejecute este ejecutable. Esto sólo se aplica a esta variante con el hash que hemos compartido; podría haber nuevas versiones en el futuro

Mercer se refiere a @MalwareTechBlog como un "héroe accidental", y el propio investigador británico lo confirma: "Confieso que no sabía que registrar el dominio detendría el malware hasta después de registrarlo, así que inicialmente fue accidental".

Ojo: lo más seguro es que aparezcan nuevas variantes que no se puedan detener con este método

Eso sí, esto no significa que las maldades de WannaCrypt se hayan terminado aquí. Los ordenadores infectados siguen infectados y, además, si alguien decidiera modificar el malware y volver a distribuirlo con otro dominio o directamente sin esa línea de código, podríamos volver a encontrarnos con una epidemia mundial, según advierten @MalwareTechBlog y otros expertos. ¿Lo mejor? Parchear los sistemas lo antes posible.

En Xataka | Todo sobre el ataque de WannaCrypt