El ataque que ha tenido en jaque a decenas de empresas e instituciones de todo el mundo, con más de 200.000 infecciones contabilizadas, ha resultado muy poco rentable. Según la empresa de seguridad Sophos, hasta el pasado lunes por la mañana los monederos de la criptodivisa bitcoin asociados a WannaCry habían recaudado algo más de 100.000 dólares.

No es una suma que haya supuesto un grave quebranto para los afectados, si bien es una recompensa jugosa para el grupo de hackers que la puso en marcha y que, en realidad, sólo ha tenido que pulsar un botón para llevarse el botín.

Todos los analistas coinciden en que el ataque fue perpetrado por un grupo de hackers llamado Shadow Brokers, que utilizó el código filtrado de la NSA. Sophos tribuye la rápida propagación del ataque a tres variables: un código que hace que la amenaza se extienda como un gusano en las redes locales, de manera que no necesita intervención de las víctimas desde que se produce por primera vez, a la explotación de una vulnerabilidad que muchas organizaciones no habían parcheado y, lo que es peor, al uso extendido de Windows XP.

Llegan las secuelas: Adylkuzz

Según Alfonso Franco, CEO de All4sec, es posible que ahora veamos la irrupción del ataque Adylkuzz, que es anterior a WannaCry pero que funciona de manera más inteligente "ya que lo que hace, además de contaminar la red, es evitar que otros malware (incluido wannacry) pueda anticiparse e infectar el equipo".

Franco cree que habrá "muchos imitadores" y cree que ha sido un test para comprobar que funciona la combinación ransomware + worm. Y se ha demostrado que sí, lo que "es preocupante". "Incluso me atrevería a decir que posiblemente lo lanzaron o se les escapó antes de tiempo", señaló.

La llegada de Uiwix

Trend Micro, por su parte, ha alertado de la aparición del ransomware UIWIX, una nueva familia que utiliza la misma vulnerabilidad EternalBlue, pero con notables diferencias.

"Parece que no tiene archivos: UIWIX se ejecuta en memoria después de explotar EternalBlue. Las infecciones sin archivos no implican la escritura de archivos o componentes reales en los discos de los equipos informáticos, lo que reduce enormemente su huella y, a su vez, hace que la detección sea más complicada", señala la empresa de seguridad.

También indican que es más escurridizo y opta por autodestruirse cuando detecta la presencia de máquinas virtuales. Asimismo, utiliza un monedero de bitcoin diferente para cada infección.