Así se ha logrado frenar la propagación de WannaCrypt
Cuando ayer empezaban a saberse las primeras consecuencias e infecciones de WannaCrypt todo el mundo empezó a preocuparse de manera mayúscula sobre una posible propagación a nivel mundial que pudiera alcanzar a millones de ordenadores y empresas de todo el mundo. No obstante en las últimas horas parece que la propagación de WannaCrypt ha cesado, sin conocerse nuevas empresas que hayan podido quedar infectadas por este ransomware que ha puesto en jaque grandes actores como Telefónica en España o al Servicio de Salud del Reino Unido.
Dos investigadores de seguridad han logrado encontrar ‘un interruptor de emergencia’ que apaga la propagación de WannaCrypt consiguiendo que en las últimas horas ya no infecte a nuevos equipos. Darien Huss de Proofpoint y su socio responsable de la cuenta de Twitter @malwaretechblog, han logrado frenar a WannaCryptpara que no se propague por Estados Unidos tras haber infectado a miles de sistemas en Asia y Europa.
Ambos investigadores estudiaron el comportamiento de WannaCrypt observando que el ransomware pedía inicialmente conexión a un dominio que no estaba registrado por nadie, y que se componía de multitud de caracteres y acabado en gwea.com. Si WannaCrypt no lograba acceso a dicho dominio, se propagaba, pero sí contaba con acceso se quedaba dormido, como en una especie de bucle.
Entonces ambos decidieron registrar el dominio al que apuntaba WannaCrypt por 10,69 euros en un registrador norteamericano, y lo redirigieron a un servidor de Los Angeles que tenían bajo su control. Una vez que lo hicieron vieron el alcance del ataque, con más de 5000 conexiones por segundo a su servidor. Esto les ha servido para conseguir información que ya están compartiendo con empresas de seguridad y con el Gobierno de los Estados Unidos.
Es probable que el autor de WannaCrypt conociera este interruptor de emergencia por si el ataque se escapaba de las manos. De momento parece que el ransomware no se está propagando a nuevos equipos, pero aún no se está fuera de peligro dado que expertos en seguridad aclaran que cualquiera aún puede modificar el código de este ransomware para lanzarlo bajo otra denominación en el futuro.
[Fuente: theguardian]
Descubre más sobre David Hernández, autor/a de este artículo.
Conoce cómo trabajamos en Computerhoy.