viernes
7 y 9
7 y 9
No todos los hackers se dedican a infectar las computadoras de los incautos para robar información y pedir recompensas. Otros, los hackers éticos, invierten todos sus esfuerzos y conocimientos en proteger a los sistemas de los virus maliciosos y en crear barreras para las compañías que manejan altos flujos de información.
Ese es el caso de “MalwareTech”, un experto británico en seguridad informática que se oculta detrás de una divertida foto de un gato con gafas oscuras y logró detener, en la tarde del viernes, el ciberataque que afectó a 75.000 computadoras en 99 países del mundo. Así fue como lo hizo:
“Me desperté alrededor de las 10 de la mañana y me registré en la plataforma británica de intercambio de amenazas cibernéticas en la que había estado siguiendo la propagación del malware bancario Emotet, algo que parecía increíblemente significativo hasta hoy. Había algunos de tus mensajes habituales acerca de varias organizaciones que estaban siendo golpeadas con virus, pero nada significativo ... todavía”, relata el experto.
Lea aquí: Ciberataque global prende las alarmas en Colombia
Sólo hasta después del almuerzo, a las 2:30 de la tarde en el Reino Unido, MalwareTech se enteró de que un virus llamado WannaCrypt había secuestrado varios computadores del sistema público de salud de su país, y que pedían 300 dólares en Bitcoins por liberar cada uno de los ordenadores.
El experto supuso que debía ser algo grande, porque el virus estaba golpeando simultáneamente cientos de sistemas en todo el país, y por eso mismo no podía ser un ataque a través de correos electrónicos, links o archivos maliciosos. “Algo que se extendió de esa forma tendría que ser propagado utilizando otro método”, señala MalwareTech.
“Rápidamente pude conseguir una muestra del malware con la ayuda de Kafeine, un buen amigo y compañero investigador. Al ejecutar la muestra en mi entorno de análisis, me di cuenta de que llamaba a un dominio no registrado que finalizaba en “gwea.com””, explica el británico.
Siga leyendo: Ya son 99 los países afectados por el ciberataque, según Avast
Sin esperar un minuto más, el hacker verificó que el dominio estaba libre, lo compró por 10,69 dólares (31.220 pesos) y redirigió el tráfico a un servidor de Los Ángeles. “Inmediatamente vimos cinco o seis mil conexiones por segundo”, dijo el experto a la revista The Daily Beast.
Lo que no se imaginó el británico es que esa simple acción fuera suficiente para frenar la expansión de WannaCrypt, que para la tarde del viernes había infectado computadores en 74 países de los cinco continentes. Por eso, publicó el hallazgo en su cuenta de Twitter @MalwareTechBlog a la espera de que algún otro hacker ético pudiera comprobar los datos de propagación del virus.
Sample I found scans SMB after dropping WannaCrypt. Can anyone confirm it's the same thing? P2P spreading ransomware would be significant. pic.twitter.com/zs5Td4ovvL
— MalwareTech (@MalwareTechBlog) 12 de mayo de 2017
“Ahora, es importante señalar que el registro real del dominio no fue en un capricho. Mi trabajo es buscar formas de rastrear y potencialmente detener botnets (los robots que infectan computadoras de manera remota), por lo que siempre estoy atento a recoger dominios de dominio de control de malware no registrados. De hecho, registré varios miles de tales dominios en el último año”, aclara MalwareTech.
A las 6:23 p.m. del viernes, el británico verificó que el virus no hubiera cambiado de dominio y construyó un mapa en vivo de la expansión del ataque, que difundido por medios de comunicación de todo el mundo.
Pero MalwareTech no era el único que estaba intentando detener el peor ciberataque de la historia de los ordenadores. En Estados Unidos, el investigador Darien Huss de la empresa ProofPoint le siguió la pista a las acciones del británico y pudo comprobar, esa misma tarde, que la compra del dominio había frenado a WannaCrypt.
“La carga útil de propagación de “WannaCry contiene el dominio previamente no registrado, la ejecución falla ahora que le dominio ha sido eliminado”, publicó el hacker americano a través de Twitter.
Además de impedir que el virus se siguiera propagando, MalwareTech y sus amigos hackers lograron rescatar a las computadoras que ya estaban infectadas. “Por supuesto ahora que somos conscientes de esto, seguiremos hospedando el dominio para prevenir cualquier infección adicional de esta muestra”, dice el británico.
El problema, claro, es que la persona malintencionada que lanzó el ataque puede volver a hacerlo con sólo cambiar el dominio, “por lo que es importante que todos los sistemas sin parche se corrijan lo más rápidamente posible”, advierte el británico.
El hacker ético agradeció en su blog a Microsoft, NCSC UK, al FBI, 2sec4u y ShadowServer por lo que hicieron para detener el ataque y brindar información oportuna a las personas que fueron víctimas del virus.
“Ahora probablemente debería dormir”, escribió MalwareTech en su blog tras una larga jornada de trabajo que salvó la información de miles de empresas, personas e instituciones en todo el globo.