El diario The New York Times aporta algo más de información sobre las raíces técnicas del ransomware. Según fuentes del ámbito de la ciberseguridad, parece que WannaCry se vale para infectar a sus víctimas de una vulnerabilidad descubierta y desarrollada por el Equation Group, una entidad relacionada con la Agencia de Seguridad Nacional estadounidense o NSA y que ha sido descrita como uno de los ciberatacantes más sofisticados del mundo. Sus herramientas y vulnerabilidades fueron robadas y filtradas por un segundo grupo de filiación disputada llamado Shadow Brokers. En manos de cibercriminales, esta vulnerabilidad en cuestión habría hecho posible la explosiva reproducción de WannaCry.
Noticia original: La BBC y otros medios del Reino Unido señalan que un número indeterminado de hospitales de Londres, Blackburn, Nottingham, Cumbria y Hertfordshire han sido víctimas de un gran ciberataque que según los primeros indicios guarda relación directa con el que este mediodía ha golpeado a Telefónica y otras empresas españolas. Todos los centros afectados por ahora pertenecen al Servicio Nacional de Salud (NHS por sus siglas en inglés), equivalente al Sistema Nacional de Salud de España.
La situación en los hospitales afectados está siendo lo suficientemente mala como para solicitar a la gente que no acuda a las salas de urgencias, remitiendo a los ciudadanos al teléfono de consultas o al número de emergencias en caso de sufrir problemas realmente graves.
De acuerdo con la información disponible en estos momentos, el ataque se activó a las 12:30 de la tarde hora local. Primero se detectaron problemas con los servidores del correo electrónico, seguidos de caídas en sistemas clínicos y de pacientes. En las pantallas de los ordenadores aparece un mensaje pidiendo un rescate en Bitcoins a cambio de desbloquear los contenidos de los ordenadores afectados, inaccesibles debido al cifrado introducido por el ransomware.
El mensaje en cuestión muy similar al recibido por Telefónica si se compara con las imágenes publicadas en medios. En él se exige el pago de un rescate anónimo de 300 dólares por equipo para eliminar el cifrado de los datos secuestrados por el ransomware. En varias fotografías se puede apreciar que incluso coinciden las direcciones para enviar el rescate, lo que da a entender que se trata del mismo atacante.
Varias de las cuentas utilizadas para exigir el pago del rescate han recibido ingresos.
Según MalwareHunterTeam, se trata de un ataque masivo e internacional. Rusia es el primer país por número de infecciones, seguido por Taiwán y España (aunque parece que los ataques en España y el Reino Unido están teniendo mayor repercusión en cuanto a las entidades afectadas). Por el momento se desconoce el origen del ataque.
El periódico El País, citando fuentes de la ciberseguridad española, señala que "los creadores del ataque contra Telefónica se basaron en filtración de Wikileaks Vault 7", aunque este es otro dato que todavía debe ser confirmado.
Se desconoce si el ransomware fue enviado de forma directa por los atacantes o si por el contrario cruzó sistemas y fronteras de forma imprevista por sus responsables. Sea como sea, las características del ataque de hoy son extremadamente inusuales. Por regla general los cibercriminales involucrados en este tipo de sucesos prefieren extorsionar a empresas pequeñas y medianas de sectores concretos, sabedores de que es mucho más fácil que no tengan copias de seguridad al día y de que estén más dispuestas a pagar el rescate. Atacar a gigantes como Telefónica o el sistema de salud británico es casi temerario, puesto que incrementa su perfil de forma exponencial y atrae más atención de la deseada.
