Un investigador británico,
@MalwareTechBlog en Twitter, dice haber encontrado un "kill-switch",
un interruptor de apagado de emergencia, en el código del ransomware, y ha
hecho uso de él. En concreto, y según él asegura al diario The Guardian,
WannaCrypt incluía en una parte de su código una conexión a un dominio
concreto: si se conectaba, el malware se "dormía"; si no, procedía a
atacar.
El dominio no estaba registrado, así que @MalwareTechBlog decidió registrarlo. Por unos 10 euros consiguió hacerse con dicho nombre de dominio e, inmediatamente después, comenzó a recibir a través de él numerosas peticiones de equipos infectados. Las redirige a un servidor sinkhole, a través del cual está detectando datos del ataque y enviándolos, según él asegura, al FBI. Como el ransomware detecta que hay conexión, entonces no infecta el equipo.
Captura del código donde se puede ver que WannaCrypt intenta conectarse a un dominio y, en función de la respuesta, sigue con el ataque o no.
La solución de @MalwareTechBlog nos
sirve, además, para hacernos una idea de los numerosos ataques que WannaCrypt
está intentando a nivel global. Con la procedencia de las solicitudes que
recibe a través del dominio registrado, el investigador ha elaborado un mapa en
tiempo real que muestra desde dónde se conectan los ordenadores infectados y el
New York Times ha optado por enseñar en un mapa en diferido la evolución de las
infecciones en todo el mundo.
La existencia de este
"kill-switch" ha sido confirmada por Malwarebytes y por Talos
Intelligence, perteneciente a CISCO.
Las estadísticas comenzaron a detectar un aumento de
peticiones DNS sobre dicho dominio a partir de las 07.24 UTC, hasta alcanzar
las 1.400 simultáneas horas más tarde:
Pero ¿ha detenido el ataque?
Infections for WannaCry/WanaDecrpt0r are down
due to @MalwareTechBlog registering initial C2 domain leading to kill-switch
#AccidentalHero
— Warren Mercer (@SecurityBeard) 12 de mayo
de 2017
Todavía es pronto para responder, pero todo parece
indicar que sí o, al menos, está ayudando a ralentizar la infección de nuevos
equipos. Darien Huss, de la compañía de ciberseguridad Proofpoint, así lo
asegura, y también CISCO a través de Warren Mercer, responsable técnico de
Cisco Talos, y del propio análisis de Talos Intelligence que comentábamos
antes. En Malwarebytes lo confirman y además lo explican así:
· El
WinMain de este ejecutable primero se intenta conectar al sitio web
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. No descarga nada de allí,
simplemente intenta conectarse. Si se conecta, deja de ejecutarse.
· Esto
era probablemente una especie de kill-switch o técnica anti-sandbox. Pero,
fuera lo que fuera, ha resultado contraproducente contra los autores del
gusano, ya que el dominio ha sido redigirido a un sinkhole y el host en
cuestión ahora resuelve una IP que hospeda un sitio web. Por tanto, nada pasará
a los nuevos sistemas en los que se ejecute este ejecutable. Esto sólo se
aplica a esta variante con el hash que hemos compartido; podría haber nuevas
versiones en el futuro
Mercer se refiere a @MalwareTechBlog como un "héroe
accidental", y el propio investigador británico lo confirma:
"Confieso que no sabía que registrar el dominio detendría el malware hasta
después de registrarlo, así que inicialmente fue accidental".
Probablemente aparezcan nuevas variantes que
no puedan detenerse con este método
- Eso sí, esto no significa que las maldades de
WannaCrypt se hayan terminado aquí. Los ordenadores infectados siguen
infectados y, además, si alguien decidiera modificar el malware y volver a
distribuirlo con otro dominio o directamente sin esa línea de código,
podríamos volver a encontrarnos con una epidemia mundial, según advierten
@MalwareTechBlog y otros expertos.
Recomendación
·
Parchear
los sistemas lo antes posible.
Fuente: Xataca.com