Experto que detuvo la propagación del ataque al apagar el ‘interruptor’ del software dice que los delincuentes ‘cambiarán el código y empezarán de nuevo’
El “héroe accidental” que detuvo la propagación global de un ataque de ransomware sin precedentes al registrar un nombre de dominio ilegible escondido en el malware, ha advertido que el ataque podría reiniciarse.
El ransomware utilizado en el ataque del viernes causó estragos en organizaciones como FedEx y Telefónica, así como en el Servicio Nacional de Salud (NHS) del Reino Unido, donde se cancelaron las operaciones, los rayos X, los resultados de las pruebas y los registros de pacientes.
Pero la propagación del ataque se detuvo repentinamente cuando un investigador británico de ciberseguridad twitteó como @malwaretechblog, con la ayuda de Darien Huss de la firma de seguridad Proofpoint, que encontró e inadvertidamente activó un “interruptor de matar” en el software malicioso.
El investigador, que se identificó sólo como MalwareTech, es un joven de 22 años del suroeste de Inglaterra que trabaja para Kryptos logic, una compañía de inteligencia de amenazas basada en LA.
“Estaba fuera almorzando con un amigo y volví alrededor de las 3 de la tarde y vi una afluencia de artículos de noticias sobre el NHS y varias organizaciones del Reino Unido siendo golpeado”, dijo a The Guardian. “Eché un vistazo a eso y luego encontré una muestra del malware, y vi que se estaba conectando a un dominio específico, que no estaba registrado. Así que lo cogí sin saber lo que hizo en ese momento. ”
Un interruptor programado
El interruptor de matar fue codificado en el malware en caso de que el creador quería detener su propagación. Esto implicó un nombre de dominio sin sentido muy largo al que el malware hace una petición, y si la petición vuelve y demuestra que el dominio está vivo, el interruptor toma efecto y el malware para de extenderse. El dominio costó $ 10.69 e inmediatamente registró miles de conexiones cada segundo.
MalwareTech explicó que compró el dominio porque su compañía sigue las botnets, y al registrar estos dominios pueden obtener una idea de cómo se está propagando la red de bots. “La intención era monitorear la propagación y ver si podíamos hacer algo al respecto más adelante. Pero de hecho paramos el spread simplemente registrando el dominio “, dijo. Pero las siguientes horas fueron una “montaña rusa emocional”.
“Inicialmente, alguien había informado de que habíamos causado la infección al registrar el dominio, así que tuve un mini ataque nervioso hasta que me di cuenta de que en realidad era al revés y lo habíamos detenido”, dijo.
MalwareTech dijo que prefería permanecer en el anonimato “porque simplemente no tiene sentido dar mi información personal, obviamente estamos trabajando contra los malos y no van a estar contentos con esto”.
Con información de The Guardian
