WannaCryptor sigue siendo una amenaza international tres años después


WannaCryptor sigue vivo y coleando, tanto es así que se encuentra en la parte outstanding de la lista de las familias de ransomware más comúnmente detectadas

El 12 de mayoth, 2017, WannaCryptor (también conocido como WannaCry y WCrypt) causó estragos en los sistemas informáticos en todo el mundo en un grado nunca antes visto. El cryptoworm se propagó a través de un exploit llamado EternalBlue que apuntaba a una vulnerabilidad crítica en una versión desactualizada de la implementación de Microsoft del protocolo Server Concept Block (SMB), a través del puerto 445, que se united states of america principalmente para compartir archivos e impresoras en redes empresariales. Durante un ataque de este tipo, un ciberdelincuente busca en World wide web máquinas con un puerto SMB expuesto y lanza el código de explotación contra cualquier máquina vulnerable que se encuentre. Si el exploit tiene éxito, el blackhat ejecutará una carga útil de su elección en este caso, fue el WannaCryptor.D Secuestro de datos.

Avance rápido hasta 2020

Tres años después, WannaCryptor sigue siendo un jugador fuerte en el campo del ransomware. De acuerdo con la Informe de amenazas de ESET para el primer trimestre de 2020, WannaCryptor aún domina el rating de la familia de ransomware, lo que representa el 40,5% de las detecciones de ransomware. Su dominio en la parte top-quality de la tabla tampoco se detuvo en abril, aunque cayó en menos de un punto porcentual en comparación con el mes anterior. Esto es bastante desconcertante, considerando que han pasado casi tres años desde el brote más grande registrado en mayo de 2017. Durante la mayor parte del primer trimestre de 2020, las detecciones de WannaCryptor se atribuyeron a muestras ampliamente reconocidas que se diseminaron en regiones con un número potencialmente alto de máquinas sin parchear. , como Turquía, Tailandia e Indonesia.

Figura 1. Las 10 principales familias de ransomware (% de detecciones de ransomware), enero a abril de 2020

Centrémonos ahora en la hazaña que facilitó toda la disaster de WannaCryptor: EternalBlue. Los intentos de ataques con el infame exploit disminuyeron durante el primer trimestre. De hecho, para fines del primer trimestre de 2020 estaba a la mitad del máximo histórico que alcanzó en el segundo trimestre de 2019. Aunque las estadísticas pueden parecer alentadoras: tres años después, EternalBlue sigue siendo una amenaza relevante con cientos de miles de intentos de ataque que tienen lugar a diario.

De acuerdo a ShodanMientras tanto, todavía hay alrededor de un millón de máquinas Windows con el protocolo SMBv1 expuesto a Web (Figura 2). Eso significa que hay potencialmente un millón de máquinas que son susceptibles a los ataques que utilizan el exploit EternalBlue.

Figura 2. Datos de Shodan (a partir del 4 de mayo de 2020)

Comparado con el año pasado, hubo una reorganización de la ubicación de la mayoría de los dispositivos afectados. Si bien Estados Unidos sigue liderando el paquete con la mayor cantidad de dispositivos vulnerables, Rusia ha superado a Japón por el segundo lugar. Sudáfrica es una adición noteworthy ya que el año pasado ni siquiera estaba en la lista y ahora ha tomado el cuarto lugar.

Vale la pena señalar que aunque EternalBlue ganó la infamia por habilitar WannaCryptor, ese no es el único ataque de alto perfil que lo aprovechó. Ambos Diskcoder.C (también conocido como Petya, NotPetya y ExPetya) y BadRabbit Las campañas de ransomware se atribuyen a la hazaña, abandonada en línea por el grupo Shadow Brokers después de ser supuestamente robada por la Agencia de Seguridad Nacional (NSA) de EE. UU.

¿Lecciones aprendidas?

Mirando hacia atrás, es seguro decir que el brote fue evitable y podría haberse detenido en seco si los usuarios de todo el mundo hubieran tomado las medidas necesarias. La vulnerabilidad fue revelada a Microsoft y a actualización de seguridad crítica fue lanzada como parte de una actualización típica de «Patch Tuesday» 59 ​​días completos antes de que comenzara el brote world-wide.

Además, el gigante de Redmond consideró la primera versión del protocolo SMBv1, que ahora tiene más de treinta años y contenía la vulnerabilidad EternalBlue. en desuso en 2013, lo que indica que debería haberse considerado obsoleto y no utilizarse más. E incluso si no se instaló un parche, algunas configuraciones de seguridad básicas podrían haber evitado que WannaCryptor infecte los dispositivos por completo. Entonces, ¿el mundo cibernético ha aprendido algo de uno de los peores brotes de ransomware de la historia?

Aunque podría pensar que la crisis WannaCryptor habilitada para EternalBlue infundió una valiosa lección en los internautas, desafortunadamente, ese no parece ser el caso. Citando al filósofo español George Santayana: «Los que no pueden recordar el pasado están condenados a repetirlo».

Esas palabras suenan especialmente ciertas, ya que a partir de mediados del año pasado, los expertos en ciberseguridad comenzó a sonar la alarma sobre BlueKeep, Una vulnerabilidad de Ejecución remota de código (RCE) encontrada en Servicios de escritorio remoto (RDP) que todos los administradores de empresas deberían haber parcheado lo antes posible. Sin embargo, el primeros ataques fueron grabados meses después. (ESET lanzó una utilidad gratuita el año pasado para verificar si una computadora con Home windows es susceptible a los ataques que explotan BlueKeep).

Pensamientos finales

La conclusión principal es que tres años después, muchas personas aún subestiman el valor de parcheando sus sistemas informáticos tan pronto como hay un parche disponible, y aparentemente no se adhieren a las mejores prácticas de seguridad. Mantenga su software actualizado y actualizado, y incorporate esa práctica con un producto de seguridad de punto final de varias capas de buena reputación. Esto contribuirá en gran medida a protegerlo contra el ransomware … y todo tipo de otros ataques maliciosos.








Enlace a la noticia unique