Wannacry: La vulnerabilidad que lo provocó sigue vigente

El ransomware WannaCryptor.D (también conocido como WannaCry o WCrypt) provocó en 2017, uno de los ciberataques más grandes conocidos al momento. Si bien la amenaza en sí no viene causando mayores daños a lo largo del mundo, el exploit que fue utilizado durante el ataque, conocido como EternalBlue, aún amenaza sistemas desprotegidos y sin parche.

Los datos telemétricos de ESET muestran que su popularidad creció durante los últimos meses e incluso se detectaron picos de actividad que superaron a los registrados en 2017.

La vulnerabilidad EternalBlue está asociada con sistemas operativos de Microsoft en la implementación del protocolo del Server Message Block (SMB), a través del puerto 445. Por lo tanto, si una empresa no tiene correctamente actualizados sus servidores, los cibercriminales podrían buscar puertos SMB expuestos, y en caso de encontrarlos, lanzar el código del exploit.

Si logran vulnerarlo, el blanco afectado ejecutará entonces un payload elegido por el atacante. El WannaCry aprovechó esta vulnerabilidad y así se propagó rápidamente a lo largo de las redes.

Según la telemetría de ESET, los intentos de explotación de EternalBlue tuvieron un período de calma inmediatamente después de la campaña de WannaCry en 2017. Los meses siguientes al brote los intentos de utilización de los exploits que aprovechaban EternalBlue cayeron a “solamente” cientos de detecciones diarias. Sin embargo, desde setiembre de 2017, el uso de este tipo de exploit comenzó a aumentar su ritmo, creciendo de manera sostenida y alcanzando nuevos picos máximos a mediados de abril de 2018. 

“Una posible explicación para esta alza en las detecciones es la campaña del ransomware Satan que se ha detectado cerca de esas fechas, aunque lo cierto es que podría estar conectado a otras actividades maliciosas también.”, mencionó Camilo Gutierrez, jefe del Laboratorio de Investigación de ESET Latinoamérica.

“Es importante destacar que el método de infiltración utilizado por EternalBlue no es exitoso en dispositivos protegidos por ESET, ya que una de las múltiples capas de protección – Network Attack Protection module – bloquea esta amenaza en el punto de entrada," añadió.

EternalBlue permitió la realización de ciberataques de gran envergadura. Aparte del WannaCry, también impulsó el destructivo ataque Diskcoder.C (también conocido como Petya, NotPetya y ExPetya) de junio de 2017, además de la campaña del ransomware BadRabbit durante los últimos meses del 2017. También fue utilizado por el grupo de ciberespionaje Sednit (conocido como APT28, Fancy Bear and Sofacy) para atacar redes Wi-Fi en hoteles de Europa. 

Los exploit asociados con EternalBlue también fueron identificados como uno de los mecanismos de propagación de mineros de criptomonedas maliciosos. Y recientemente, fue utilizado para distribuir la campaña del ransomware Satan, descrito días después de que la telemetría de la compañía ESET detectara los picos de EternalBlue de mediados de abril de 2018.

Con información de ESET

(Si deseas enviar información a nuestra sección web de Tecnología y Ciencia, puedes hacerlo a: mtumay@comercio.com.pe / martintumay@gmail.com)