Así funciona el ransomware que se ha usado en el ciberataque a Telefónica

Telefónica está sufriendo uno de los ciberataques más importantes de su historia reciente, y las informaciones que se están recibiendo apuntan a un ransomware llamado Wanna Decryptor que «secuestra» los datos de los ordenadores infectados cifrándolos. Los trabajadores de Telefónica no podrían recuperar el acceso a ellos hasta pagar una recompensa económica a los anónimos responsables del ataque.

El mecanismo de acceso del malware a los ordenadores afectados es variado, pero sobre todo se suele infectar a la víctima a través de correos con spam: recibos o facturas falsas, ofertas de trabajo, advertencias de seguridad o avisos de correos no entregados, etc.

Si la víctima abre el fichero ZIP que normalmente se adjunta en dichos correos, se activa un JavaScript malicioso que hace que se instale el malware para que el ciberatacante lo active cuando lo considere oportuno.

Wanna Decryptor, un ransomware que se propaga a través de la red

Las capturas que han ido apareciendo en los últimos momentos apuntaban a que el ransomware utilizado en este ciberataque ha sido Wanna Decryptor (Wcry), un conocido malware que cifra datos a través del algoritmo AES para luego plantear ese rescate. La CCN-CERT confirma que en efecto este ransomware es el utilizado en este ciberataque.

Como explicaban en MySpybot, uno de los problemas de obtener la clave para descifrar los datos es que no está en el ordenador local, sino almacenada en la máquina desde la que se realiza el ataque, lo que obliga a los usuarios a hacer el pago para poder recuperar el acceso a sus datos si no tienen algún tipo de backup para recuperar esos datos desde él.

Otro de los problemas adicionales que plantea este ransomware en concreto es que no solo afecta a los datos locales, sino que además se propaga por la red, cifrando los formatos de fichero más populares para acabar «destruyendo» el acceso a datos compartidos en una intranet sin que los usuarios puedan hacer mucho por evitarlo.