Los británicos Darien Huss y su amigo cuya identidad no ha sido revelada pero que se conoce en las redes sociales como MalwareTech resultaron ser los frenadores del ataque cibernético que afectó a 150 países.
#WannaCry propagation payload contains previously unregistered domain, execution fails now that domain has been sinkholed pic.twitter.com/z2ClEnZAD2
— Darien Huss (@darienhuss) 12 de mayo de 2017
Warning for Monday: If you turn on a system without the MS17-010 patch and TCP port 445 open, your system can be ransomwared.
— MalwareTech (@MalwareTechBlog) 15 de mayo de 2017
¿Cómo lograron frenar el ataque?
WannaCry (en español "quiero llorar") que es el nombre del software malicioso que atacó este viernes, fue estudiado por los jóvenes quienes notaron que contactaba con un nombre de dominio (una dirección de Internet), que consistía en una gran cantidad de caracteres cuyo final siempre era “gwea.com”.
Concluyeron que si WannaCry no podía tener acceso a esa dirección comenzaría a funcionar de manera errante por la Red, buscando nuevos sitios que atacar, hasta terminar por desactivarse, como sucedió.
El paso siguiente fue comprar el dominio gwea.com a través de NameCheap.com por un monto de 10,69 dólares para luego apuntase a un servidor en Los Ángeles que tenían bajo su control para poder obtener información de los atacantes.
Tan pronto como el dominio estuvo en activo pudo sentirse la potencia del ataque, más de 5.000 conexiones por segundo. Hasta que finalmente terminó por apagarse a sí mismo.
Según ellos mismos han explicado a Daily Beast, es muy probable que el autor del código malicioso fuese consciente del fallo y lo mantuviera como un interruptor de emergencia para desactivarlo.
En el momento en que registraron el dominio que puso freno al avance del ataque, miles de ordenadores en Asia y Europa ya estaban infectados, pero apenas había avanzado en Estados Unidos, donde hubo tiempo para poner el parche e inmunizarse.
Fuente: El País
