Tres años después de WannaCry, el ransomware se acelera …


Usando un exploit conocido para infectar sistemas no mantenidos, el gusano ransomware WannaCry sigue siendo un estudio en catástrofes prevenibles. Sin embargo, muchas compañías continúan ignorando sus lecciones.

Hace tres años, el gusano de ransomware WannaCry rápidamente comprometió a cientos de miles de computadoras y servidores desactualizados, encriptando datos en los sistemas y, a menudo, cerrando operaciones en las organizaciones afectadas.

La lista de víctimas abarcaba desde hospitales pertenecientes al Servicio Nacional de Salud en el Reino Unido, hasta fábricas de automóviles pertenecientes a Renault-Nissan en Francia, hasta las operaciones de envío de FedEx en los Estados Unidos. Según una estimación, el costo de limpiar el daño causado por WannaCry y la interrupción del negocio superó los $ 8 mil millones.

El ataque conmocionó a las empresas con su velocidad y sus efectos dañinos. Si no fuera por las acciones fortuitas de un antiguo escritor de malware, la amplitud del llamado ataque «ransomworm» podría haber sido mucho peor.

«Esa fue realmente la primera vez que las armas cibernéticas se volvieron realmente contra el público», dice Craig Williams, director de divulgación del grupo de investigación de ciberseguridad Talos de Cisco. «Antes de esto, definitivamente había gusanos, pero eran principalmente destructivos porque se vehicle-replicaban. Incluso con una amplia advertencia sobre estas vulnerabilidades, mucha gente no había parcheado y mucha gente no tenía protecciones».

¿Lección aprendida?
Si hay una lección del incidente de WannaCry, es esto: las empresas que usan sistemas obsoletos y no aplican parches rigurosos a esos sistemas están en riesgo, no solo por las violaciones de datos, que las empresas históricamente han ignorado, sino por los ataques de ransomware que interrumpe las operaciones .

Desafortunadamente, muchas compañías continúan ignorando esas lecciones y todavía están utilizando program desactualizado que es susceptible a ataques destructivos, dijo Jacob Noffke, ingeniero cibernético principal de Raytheon Intelligence & Space, en un comunicado enviado a Dim Looking through.

«Muchos han actualizado sistemas operativos más antiguos, parchearon agresivamente sus sistemas, aislaron mejor los sistemas sin parches detrás de los firewalls y tienen soluciones de respaldo sólidas para minimizar el impacto y la posibilidad de que el ransomware result in estragos en sus redes en el futuro», dijo. «Pero, desafortunadamente, no todas las organizaciones han tomado nota, y a medida que los ataques de ransomware continúan evolucionando, aquellos con defensas más débiles serán un objetivo principal para los cibercriminales que buscan capitalizar los ataques inspirados por WannaCry».

WannaCry apareció el 12 de mayo de 2017, extendiéndose rápidamente a más de 200,000 sistemas Home windows en 150 países de todo el mundo. El ransomware se propagó como un gusano, utilizando la autopropagación a través de un exploit remoto hecho público dos meses antes. El exploit, una antigua arma cibernética creada por la Agencia de Seguridad Nacional y filtrada por el grupo de hackers Shadow Brokers, puede comprometer fácilmente los sistemas que ejecutan versiones anteriores de Microsoft Windows, como Home windows XP, Windows 7, Windows Server 2003 y Windows Server 2008.

En cuatro días, el ataque se había extendido a más de 300,000 sistemas, según las estimaciones de la época. Más del 95% de todas las máquinas infectadas ejecutaban versiones sin parches de Windows 7 porque WannaCry no atacaba los sistemas Home windows XP correctamente.

Sin embargo, el ataque WannaCry no alcanzó su potencial para causar daños debido a los esfuerzos de Marcus Hutchins, un investigador de seguridad cibernética, que luego se reveló como un antiguo escritor de malware, que identificó un «interruptor de apagado» en el programa que podría usarse para detener el ataque

WannaCry Takeaways
Además del punto de no utilizar sistemas obsoletos y sin parches, WannaCry dejó la industria con algunas otras lecciones importantes, aunque muchas compañías no les prestan atención.

1. Las viejas hazañas nos persiguen: WannaCry demostró dramáticamente a las empresas que mantener un software package antiguo conectado a World wide web con malas defensas es una mala plan. De hecho, la propagación de WannaCry probablemente mitigó el impacto del ataque del ransomware NotPetya al mes siguiente, dice Alex Guirakhoo, líder del equipo de investigación de amenazas con Electronic Shadows, una firma de protección de amenazas digitales.

«Fue una gran llamada de atención para las organizaciones que dependen de los sistemas de fin de vida», dice Guirakhoo. «Siempre ha sido esto donde las personas usan la tecnología más allá del remaining de la vida, y simplemente no se actualizan. Eso los pone en riesgo».

Sin embargo, los parches integrales continúan eludiendo a muchas compañías, y los sistemas antiguos parecen sobrevivir mucho más allá de sus fechas de vencimiento en Internet.

Incluso hoy en día, más de 600,000 computadoras aún exponen el puerto SMB para compartir archivos a Web, una configuración arriesgada, y muchas aún pueden estar disponibles para ataques como el exploit EternalBlue utilizado por WannaCry. Los atacantes continúan buscando la vulnerabilidad, con al menos 100 fuentes diferentes que aún analizan las instancias de intercambio de archivos SMB vulnerables a la vulnerabilidad, según los datos recopilados por la firma de gestión de vulnerabilidades Swift7.

2. Los gusanos pueden afectar dramáticamente las operaciones: WannaCry demostró lo mal que el ransomware puede afectar las empresas y las operaciones. El gusano del rescate, y NotPetya, causaron daños por decenas de miles de millones de dólares en todo el mundo.

El ataque WannaCry, por ejemplo, interrumpió las operaciones en Más de un tercio de los hospitales y consultorios médicos. integrando el Servicio Nacional de Salud del Reino Unido. NotPetya infectó más de 30,000 computadoras portátiles y 7,500 servidores en Merck, lo que le costó a la empresa farmacéutica más de $ 870 millones en daños y pérdida de ingresos.

«Estas amenazas nunca desaparecerán», dice Williams de Cisco. «Sin embargo, debido a que se ha prestado tanta atención a estos ataques, Internet ha cambiado para siempre para mejor como resultado. Piense en cuán más destructiva habría sido NotPetya si WannaCry no hubiera sucedido».

3. La atribución es difícil: Finalmente, las agencias de inteligencia occidentales culparon del ataque WannaCry a Corea del Norte y del ataque NotPetya a los servicios de inteligencia de Rusia. Sin embargo, los investigadores de seguridad debatieron si los signos de un desarrollador norcoreano detectado en WannaCry eran significativos o una falsa bandera.

Algunos investigadores señalaron el hecho de que WannaCry no apuntó a la propiedad intelectual y no monetizó adecuadamente los sistemas infectados como una señal de que un grupo más aficionado probablemente escribió el código. El análisis del lenguaje postuló que las notas de rescate que se muestran en los sistemas infectados probablemente fueron escritas por un autor de habla china.

Dado que las tácticas de falsa bandera se usan con más frecuencia, tratar de encontrar la fuente de los ataques solo será más difícil. Entonces, ¿estamos mejor preparados hoy? Hasta que las empresas puedan descubrir su sistema crítico y parchearlos rápidamente, las empresas siguen siendo vulnerables a otro ataque, dice Williams.

«Me encantaría ser optimista, pero todavía vemos gusanos de hace 20 años extendiéndose en World-wide-web hoy», dice. «Hay sistemas que nunca serán parcheados, que se enchufaron hace 10 años, y la organización los olvidó».

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dark Reading through, MIT&#39s Technological innovation Overview, Common Science y Wired News. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más thoughts





Enlace a la noticia unique