Investigación

Después del WannaCry en Latinoamérica

El ataque del Ransomware WannaCry comenzó hace aproximádamente 10 días. Fue un viernes 12 de Mayo y se propagó rápidamente entre decenas de miles y luego centenares de miles de computadoras basadas en el sistema operativo Microsoft Windows.

Gracias a los esfuerzos conjuntos internacionales, se logró detener su rápida propagación y a medida que los administradores de redes iban a aplicando el parche MS17-010 de Microsoft, las posibilidades de propagación masiva del WannaCry se fueron cerrando.

¿Cuál es el panorama 10 días después del WannaCry? Las siguientes estadísticas nos pueden visualizar el impacto causado y también el estado actual de la amenaza.

Propagación del WannaCry en América Latina

Nuestros datos estadísticos muestran que la mayor propagación de esta amenaza se dio en Europa, principalmente en Rusia y luego en Ucrania.

Después del WannaCry en Latinoamérica

Sin embargo, México también es uno de los países donde el WannaCry ha tenido mucha actividad. De hecho, México se encuentra en la posición #4 a nivel mundial por el número de ataques registrados.

A continuación, la lista del Top 10 de los países a nivel mundial con el mayor números de ataques del WannaCry:

  1. Rusia
  2. Ucrania
  3. China
  4. México
  5. India
  6. Brasil
  7. Taiwan
  8. Hong Kong
  9. Vietnam
  10. Indonesia

Estos datos corresponden a un periodo de tiempo de entre el 11 de Mayo y hasta el 22 de Mayo de 2017.

Si hablamos de Latinoamérica solamente, el Top 5 de los países más atacados sería el siguiente:

  1. México
  2. Brasil
  3. Chile
  4. Ecuador
  5. Colombia

Es interesante notar que las dinámicas de las infecciones han ido cambiado, por ejemplo, una actualización de la propagación del WannaCry registrada el 13 de Mayo de 2017, mostraba que Brasil era el país más atacado:

https://twitter.com/dimitribest/status/863392608994938883

Las colectas del WannaCry a nivel mundial

Cuando la información es cifrada por el WannaCry, la víctima es extorsionada a pagar el rescate para recuperar sus información. Mucha víctimas que pagaron luego clamaban en el Internet de que no habían recibido nada para descifrar sus datos! Y es que nunca se debe pagar a los criminales! Si la víctima lo hace, el actor del ataque recibe lo que realmente busca y de esta forma el crimen continúa.

Hasta el momento (22 de Mayo de 2017, 8:40 am ET), el WannaCry recaudó de las víctimas un total de 52.28820119 BTC que de acuerdo a la cotización del momento equivale a un poco más de 114 mil dólares:

Después del WannaCry en Latinoamérica

El número total de las transacciones registradas en las billeteras del WannaCry es de 327, ósea son potencialmente 327 víctimas empresariales las que lamentablemente acudieron al pago de los actores del ataque del WannaCry.

Los sistemas operativos más atacados por el WannaCry

¿En qué sistemas operativos ha operado el WannaCry en Latinoamérica?

México

7 50.00%
7 x64 Edition 41.67%
2008 R2 Server Standard Edition x64 Edition 2.41%
2008 R2 Server Enterprise Edition x64 Edition 1.75%
10 x64 Edition 1.32%
7 Home x64 Edition 1.10%
7 Home 0.44%
10 0.22%
2008 R2 Server for Small Business Domain Controller x64 Edition 0.22%
2008 Server Standard Edition 0.22%
8.1 0.22%
8.1 Home x64 Edition 0.22%
XP Professional 0.22%

Brasil

7 44.31%
7 x64 Edition 35.33%
10 x64 Edition 7.78%
2008 R2 Server Standard Edition x64 Edition 2.99%
2008 R2 Server Enterprise Edition x64 Edition 2.40%
7 Home x64 Edition 2.10%
10 Home x64 Edition 1.20%
7 Home 1.20%
2012 Server Standard Edition x64 Edition 0.90%
2008 R2 Server Standard Edition Domain Controller x64 Edition 0.60%
10 0.30%
8.1 x64 Edition 0.30%
Mac OS X 10.12.4 x86_64 0.30%
NT 6.3 Home x64 Edition 0.30%

Chile

7 x64 Edition 78.16%
7 11.49%
10 x64 Edition 2.30%
7 Home x64 Edition 2.30%
10 Home x64 Edition 1.15%
2008 R2 Server Enterprise Edition x64 Edition 1.15%
2008 R2 Server Standard Edition x64 Edition 1.15%
2008 R2 Server Standard Edition Domain Controller x64 Edition 1.15%
2012 R2 Server for Small Business Server Domain Controller x64 Edition 1.15%

La línea del tiempo de la vida del WannaCry

Después del WannaCry en Latinoamérica

Nuestras estadísticas muestran que la proliferación del WannaCry ha caído drásticamente a nivel mundial; no obstante, se mantiene activa aún.

El volumen actual, de hecho, ha bajado hasta 4 veces en comparación con el 13 de mayo, la fecha del mayor pique de las infecciones a nivel mundial.

Después del WannaCry

Muchos creen que el WannaCry, en realidad, ha sido un gran problema y sin subestimarlo, creemos que el mayor problema es esa vía habilitada para toda clase de actores de ataques que la han estado explotando en paralelo al WannaCry. Y nos referimos a los exploits DoublePulsar y EternalBlue que recientemente fueron publicados para todo el público en el Internet y que abusan de vulnerabilidades en el servicio SMB. Este problema, en realidad, es muy grande ya que mientras que el WannaCry y su carga útil es visible para la víctima – pues exige el pago por los datos cifrados – en los ataques que utilicen otro tipo de malware, por ejemplo, programas espía y otros, la víctima no se dará cuenta fácilmente de que algo malo está pasando en su equipo.

Hasta que los administradores de redes de trabajo y también los usuarios finales no instalen parches correspondientes de Microsoft para cerrar estas vulnerabilidades, los atacantes con cualquier perfil, cualquier origen y cualquier motivación, tendrán éxito en atacar a las víctimas. Pues, las vulnerabilidades permanecerán listas para ser explotadas.

Entonces, con esto en mente, ¿cuál es el panorama de las detecciones del DoublePulsar y EnternalBlue a nivel mundial? Es decir, detecciones no de la carga útil del malware sino de la vía o el vehículo utilizado por el WannaCry y varios otros actores:

Después del WannaCry en Latinoamérica

En cambio, si revisamos la propagación de los exploits, a través del tiempo se observan varios datos interesantes:

Después del WannaCry en Latinoamérica

Primero es que el ShadowBrokers publicó su leak con los datos de los exploits el 14 de Abril; sin embargo, sus primeras detecciones comenzaron a aparecer el 21 de Abril del 2017. Es decir, una semana después.

El pique de las detecciones cae el 12 de Mayo y es justo la fecha cuando comenzó la campaña del Wannacry. Si seguimos la curva después de ese día, se observa que hay una tendencia, de hecho creciente, de que los exploits se siguen utilizando.

En términos de números, la diferencia entre los usuarios atacados con los dichos exploits el primera día y el día de hoy, 22 de Mayo, su uso masivo creció hasta 10 veces!

El día que en realidad, todos los usuarios y los administradores de redes de trabajo lleguen a parchar sus sistemas operativos, los ataques que usan los exploits del EnternalBlue y DoublePulsar cesarán. Mientras tanto, es como un ferrocarril ya construido en el cual toda clase de tren puede transitar.

Después del WannaCry en Latinoamérica

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

  1. Cristhian Cedeño Sarmiento

    Saludos… Me podrías facilitar información sobre Ecuador referente a infecciones de WannaCry. Sistemas operativos afectados? Tasa de infección… Etc

  2. Leopoldo Avellan

    Si también busco información sobre que SO han sido infectados y que servidores si es posible y estadísticas Saludos gracias.

  3. JOSE EDUARDO BADILLO REYES

    Buen comentario y articulo al respecto
    es interesante estar informado sobre este tipo de acciones
    gracias
    a Kaspersky lab
    tengo mas de 8 años utlizando este software de protección antivirus

  4. Roman Morales

    excelente información, gracias por compartir este conocimiento con todos nosotros.

  5. george howard

    Se agradece la rápida advertencia inicial de Kaspersky, y este artículo sobre la propagación. Es de esperar que se puedan integrar en los paquete de antivirus mas sistemas de protección y las advertencias generales para no ayudar a propagar tales problemas.

  6. idearius

    Uruguay figura sin datos en cuanto a la propagación del WannaCry. A qué se debe?

    Saludos.

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada