WannaCry tiene IoT en su punto de mira



La amplia variedad de dispositivos conectados al Internet de las cosas ofrece un objetivo rico para los proveedores de ransomware.

Los ataques de ransomware van en aumento. SonicWall informó de un aumento del 109% en ransomware en los EE. UU. durante la primera mitad de 2020. Debido a los costos de ejecución relativamente bajos, las altas tasas de retorno y el riesgo mínimo de descubrimiento en comparación con otras formas de malware, el ransomware se ha convertido rápidamente en un método de ataque preferido para ciberdelincuentes.

Aunque los sistemas informáticos siguen siendo la fuente más común de infección de ransomware, los dispositivos de World wide web de las cosas (IoT) también son objetivos principales por varias razones, incluido el hecho de que los piratas informáticos saben que las empresas a menudo tienen menos visibilidad de estos dispositivos y, por lo tanto, pueden infligir efectos devastadores sin ser detectados. . Además, los dispositivos de IoT a menudo no se construyen teniendo en cuenta la seguridad, lo que los hace vulnerables a las vulnerabilidades. Los ataques basados ​​en IoT también pueden extenderse por la red muy rápidamente para maximizar el daño, y el ransomware puede hacer que las funciones físicas de ese dispositivo sean inaccesibles hasta que se pague el rescate.

Desafortunadamente, hay muchas acusaciones cuando se trata de quién es responsable de reforzar la seguridad de IoT. A menudo, depende de las organizaciones individuales protegerse de los ataques basados ​​en IoT.

De todos los tipos de ransomware, uno de los más dañinos e infames es WannaCry. Se estima que ha afectado más de 200.000 ordenadores en 150 países, con daños totales que van desde cientos de millones hasta miles de millones de dólares. WannaCry, así como otras formas de malware y ransomware, aprovechan un conocido exploit llamado EternalBlue. Explota una vulnerabilidad en el protocolo Server Information Block versión 1 (SMB v1) de Windows, que permite que el malware se propague a todos los sistemas Windows sin parchear desde XP hasta 2016 en cualquier red que tenga este protocolo habilitado.

Aunque WannaCry se detectó por primera vez en mayo de 2017, según los detectives de seguridad, todavía representa casi la mitad de todos los incidentes de ransomware reportados en los Estados Unidos hoy. Todo el malware basado en EternalBlue (incluido WannaCry) explota la misma vulnerabilidad de Home windows. Dado que estos ataques siguen aumentando tres años después, es evidente que todavía hay muchos sistemas Windows sin parches.

Y nuevamente, mientras que WannaCry se dirige principalmente a las computadoras, los dispositivos de IoT no fueron, ni son, inmunes.

Cómo un healthcare facility detuvo un ataque de WannaCry
En 2019, un sistema hospitalario europeo descubrió que sus dispositivos de ultrasonido estaban infectados con WannaCry. Varios dispositivos de imágenes digitales y comunicaciones en medicina (DICOM) también se vieron afectados porque ejecutaban versiones antiguas de los sistemas operativos MS Windows. Estos dispositivos no se pueden parchear sin romper la garantía del fabricante del dispositivo y, debido al costo de estos dispositivos, no se pueden reemplazar fácilmente.

Afortunadamente, el medical center actuó rápido y pudo detener este ataque. Específicamente, ellos:

  • Confirmó la existencia de la infección en las máquinas de imágenes.
    El medical center seleccionó uno de los dispositivos DICOM sospechosos, un ultrasonido en la sección de maternidad del clinic. Este fue un caso particularmente peligroso porque algunas de las imágenes e informes podrían ser robadas y retenidas para pedir un rescate, o peor aún, el dispositivo podría tomar el regulate y quedar inutilizable. Realizaron una captura de tráfico en el dispositivo de ultrasonido y encontraron un número significativo de flujos desde el ultrasonido a la red, utilizando SMB More than TCP (puerto 445). Dado que este period el puerto preferido y el exploit conocido para EternalBlue / WannaCry, confirmó que la máquina estaba infectada.
  • Aplicar perfiles de seguridad y aislar los dispositivos afectados.
    Dado que el dispositivo de ultrasonido no se pudo parchear ni actualizar, no pudieron eliminar la infección. Sin embargo, el clinic pudo contenerlo y continuar usando dispositivos médicos infectados sin preocuparse por infectar la red más amplia o perder las imágenes y archivos de ultrasonido. Para ello, el healthcare facility utilizó una solución de seguridad que podía segmentar y aislar ciertos dispositivos de la crimson, de modo que la infección pudiera quedar contenida dentro del dispositivo de ultrasonido, evitando su propagación a través de la pink. Luego, el equipo de TI aplicó políticas al dispositivo de ultrasonido para asegurarse de que no se abrieran puertos UDP / TCP, excepto los permitidos explícitamente por el own de imágenes y los gerentes de TI.
  • Monitoreó los dispositivos desatendidos y permaneció alerta.
    La acción no se detuvo cuando el medical center aisló los dispositivos afectados. Los hospitales y otras organizaciones cuyos sistemas informáticos se han visto afectados por múltiples rondas de brotes de WannaCry deben confirmar que los dispositivos médicos (especialmente los que ejecutan versiones antiguas de los sistemas operativos MS Home windows) tampoco se han infectado. El healthcare facility europeo verificó que otros dispositivos no se vieron afectados y continuó monitoreando de cerca cualquier actividad sospechosa.

El camino por delante
Todos los expertos en ciberseguridad están de acuerdo en que los ataques de ransomware solo se acelerarán y podrían representar una mayor amenaza para los dispositivos de IoT en 2020 y más allá. Además de proteger sus sistemas informáticos y los datos de la empresa de la amenaza de un ataque de ransomware, es essential revisar y actualizar sus prácticas de seguridad de IoT actuales, especialmente para los puntos finales de misión crítica, como dispositivos médicos y sistemas de handle industrial.

El ransomware no va a ninguna parte, pero podemos asegurarnos de estar preparados para la próxima vez que ataque.

Ed Koehler ha estado en la industria de las comunicaciones y las redes durante más de 20 años. Diez de esos años los pasó como arquitecto tecnológico senior para I + D dentro de la división CTO de Nortel. Sus especialidades en el área son, IPv6, Multicast, Identidad Digital y Seguridad de Redes, así como … Ver Biografía Completa

Lectura recomendada:

Más información





Enlace a la noticia authentic