Home Sociedad WannaCry Ransomware sigue estando presente en miles de sistemas infectados

WannaCry Ransomware sigue estando presente en miles de sistemas infectados

Casi dieciocho meses después de que el rescate de WannaCry infectara los primeros sistemas, los investigadores afirman que el malware sigue presente en miles de ordenadores, permaneciendo inactivo hasta que la situación cambia de nuevo.

Cuando la infección por WannaCry fue desatada por primera vez, el investigador de seguridad Marcus Hutchins de Kryptos Logic registró un dominio que actuaba como un interruptor de muerte para el componente ransomware de la infección. Si esta pudiera conectarse a este dominio de conmutación de muerte, el componente ransomware no se activaría. La infección, sin embargo, continuaría corriendo silenciosamente en segundo plano, mientras se conectaba rutinariamente al dominio del switch de apagado para comprobar si aún estaba vivo.

En un hilo de Twitter difundido el viernes 21 de diciembre, por Jamie Hankins, Jefe de Seguridad e Inteligencia de Amenazas de Kryptos Logic, se publicaron datos sobre la cantidad de conexiones y direcciones IP únicas que continúan conectándose al switch de muerte. A pesar de que este switch está ahora alojado en Cloudflare para proporcionar una alta disponibilidad y protección frente a ataques DDoS, Hankins le dijo a Bleping Computer que todavía tienen acceso a las estadísticas relativas a este dominio.

Según el experto, el dominio de conmutación de WannaCry, recibe más de 17 millones de balizas, o conexiones, en un período de una semana.  Estas conexiones provienen de más de 630 mil direcciones IP únicas que consisten en 194 países diferentes en una semana.

El hecho de que tantos ordenadores sigan infectados con este malware es un gran problema. Todo lo que necesitas es que ocurra un apagón de Internet y que el dominio del interruptor de apagado deje de ser accesible para que el software de rescate se active.

Para evitar que esto suceda, Hankins sugiere el uso de su servicio TellTale para buscar y asegurarse de que sus direcciones IP no estén infectadas con la infección de WannaCry.

En abril de 2018, Kryptos Logic lanzó un servicio llamado TellTale que permite a las organizaciones monitorear su rango de direcciones IP para detectar infecciones conocidas. Al utilizar este servicio, las organizaciones serán notificadas si sus computadoras están infectadas con el software de rescate WannaCry, así como con otras amenazas conocidas monitoreadas por Kryptos Logic.

Con la gran cantidad de organizaciones aún afectadas por WannCry , y posiblemente otros programas maliciosos de ocultación, TellTale es una herramienta útil que puede notificar a las organizaciones cuando están infectadas.

Con información de: Bleeping Computer