SEGURETAT INFORMÀTICA

WannaCry infecta més de 100 països

Dilluns la infecció es pot reprendre amb tanta o més virulència que divendres si no es prenen mesures
ENRIC BORRÀS / NATÀLIA VILA

El programa maliciós WannaCry ja havia infectat més de 100 països al tancament d’aquesta edició, segons el recompte de l’empresa txeca d’antivirus Avast. La xifra de màquines contaminades amb la variant WanaCrypt0r 2.0 d’aquest programa havia superat les 125.000. Tot i això el cap de setmana -amb menys ordinadors funcionant a les empreses i un remei provisional localitzat per un investigador-, és un fre per a la infecció. L’Institut Nacional de Ciberseguretat espanyol fins i tot s’atrevia ahir a dir que el ciberatac estava “remetent”, però caldrà veure què passa demà i si els informàtics de les empreses han actuat per prevenir noves infeccions.

L’Europol va definir ahir l’envestida d’aquest ransomware -programa maliciós que segresta les dades d’un ordinador, xifrant-les, i exigint un rescat per lliurar la contrasenya- com un ciberatac “sense precedents”. L’organisme policial europeu va comunicar que treballa amb les unitats de ciberdelictes dels països afectats però també va admetre que caldrà “una investigació internacional complexa” per identificar els culpables.

Rússia -que acumula prop del 60% de les infeccions, segons Avast-, França i el Regne Unit van fer públic ahir que algunes de les seves principals empreses havien quedat afectades. El Banc de Rússia -l’equivalent al Banc d’Espanya- va admetre ahir que la majoria de bancs del país havien rebut enviaments contaminats, tot i això l’entitat assegurava que els recursos dels bancs no havien quedat “compromesos”. Les autoritats russes també han admès que la companyia estatal de ferrocarrils és una altra de les víctimes del ciberatac massiu.

A París, Renault va haver d’aturar la producció de cotxes per frenar la infecció. La planta japonesa de Nissan al Regne Unit també va quedar afectada, tot i que els britànics tenien un problema més greu, amb els efectes que el WannaCry ha causat a la xarxa de salut pública. A Alemanya la companyia de trens Deustche Bahn també va patir l’atac, segons van admetre ahir les autoritats.

La infecció es va escampar a una velocitat inusitada, perquè l’atac va començar divendres cap a les deu del matí -hora d’aquí-. Així ho indica la investigació feta per un jove analista britànic que s’amaga darrere del compte de Twitter @malwaretechblog i que, amb l’ajuda d’un altre informàtic, Darien Huss, va frenar ahir el WannaCry.

Fre accidental

Quan el WanaCrypt0r 2.0 ha infectat un ordinador intenta accedir a un domini d’internet. Això podria ser un mecanisme per comprovar que no l’estan analitzant en una sandbox -una mena de zona segura dins un ordinador que permet estudiar programes malignes sense perill que la infecció s’escampi a fora-. Aquest domini, fins ahir, no existia. Tot i això algunes sandbox enganyen els programes malignes per fer-los creure que tenen accés a internet i responen als intents d’accedir a dominis. El programa preveu aquest possible engany i, si detecta aquesta reacció, s’atura. És una estratègia per evitar que els especialistes descobreixin com funciona.

Segons va explicar @malwaretechblog, es va adonar que aquest domini no estava registrat, va pagar els aproximadament 10 dòlars que costa fer-ho i va aconseguir aturar la infecció, sense esperar-s’ho. Però ell mateix va avisar que no hi ha res que impedeixi als autors del programa maliciós canviar-ne el codi i tornar-lo a escampar. La seva és una solució provisional que ja podria haver quedat desactivada, perquè ja s’han localitzat variants del WanaCrypt0r 2.0 que no inclouen la crida a aquest domini. L’expert en seguretat informàtica José Nicolás Castellano explica que s’han localitzat com a mínim vint-i-dues variants del programa maliciós.

“Si dilluns les empreses no han instal·lat els pedaços del sistema operatiu la infecció es pot reprendre de manera tan o més virulenta que divendres”, assegura Castellano, que explica que hi ha altres maneres provisionals de frenar-la, com tancar el port dels ordinadors que fa servir el WannaCry per escampar-se a les xarxes locals, però que l’única solució definitiva és actualitzar Windows i instal·lar un pedaç publicat fa dos mesos. “Si no es fa, podem esperar el pitjor”, insisteix.

Ja hi ha un ampli consens a partir el qual l’Agència de Seguretat Nacional dels EUA va detectar la vulnerabilitat que WanaCrypt0r 2.0 fa servir per escampar-se fa anys, però va callar i la va fer servir per a l’espionatge. “El Congrés ha de preguntar a la NSA si coneix altres vulnerabilitats al programari que fan servir els nostres hospitals”, reclamava ahir l’activista i exanalista de la NSA Edward Snowden.

Més continguts de