Miles de organizaciones en todo el mundo fueron sorprendidas por el ataque al ransomware de WannaCry lanzado el pasado viernes. La diferencia entre los ataques anteriores y este último es un componente tipo gusano que infecta a otros equipos al explotar una vulnerabilidad de ejecución remota de código crítico en la implementación de Windows del protocolo Server Message Block 1.0 (SMBv1).
Un investigador, quien utiliza el alias en línea de “MalwareTech”, se dio cuenta de que esto podría ser aniquilador y registró el propio dominio para frenar la propagación del ransomware.
Los atacantes de WannaCry adaptaron una vulnerabilidad existente filtrada en abril por un grupo llamado Shadow Brokers. El nombre de código EternalBlue se supone que forma parte de un grupo de ciberespionaje vinculado con la Agencia de Seguridad Nacional de Estados Unidos.
Desde entonces, los investigadores han descubierto un par de versiones más y han logrado registrar una de ellas. Según los expertos, los ataques de WannaCry continuarán, ya que a pesar de que los parches están disponibles, muchos sistemas probablemente seguirán siendo vulnerables por algún tiempo.
“Probablemente va a empeorar antes de que mejore, ya que será una de las amenazas más graves para los próximos 12 meses”, aseguró Catalin Cosoi, estratega jefe de seguridad de Bitdefender. “Los grupos de ciberespionaje patrocinados por el estado puede que aprovechen el defecto SMB para plantar puertas traseras en las computadoras, mientras que los defensores están ocupados con el ataque de ransomware mucho más visible.
El éxito de WannaCry demostró que un gran número de organizaciones se están quedando atrás en los parches, ya que tienen sistemas heredados que ejecutan versiones antiguas de Windows. Uno de los problemas principales es que muchas organizaciones no disponen de recursos financieros para actualizar o reemplazar estos sistemas.
Sin embargo, existen medidas que se pueden tomar para proteger esos sistemas, como aislarlos en segmentos de red donde el acceso está estrictamente controlado o desactivando protocolos y servicios innecesarios.
“Hay ciertas organizaciones o sectores donde el parche no es una cuestión sencilla”, dijo Carsten Eiram, director de investigación de la firma de inteligencia de vulnerabilidad Risk Based Security. “En esos casos, es imperativo que entiendan correctamente los riesgos y miren soluciones alternativas para limitar la amenaza”.
El éxito de WannaCry ha demostrado a los ciberdelincuentes que hay muchos sistemas vulnerables en las redes empresariales que pueden ser objeto de antiguas explotaciones.
“La hazaña de EternalBlue es parte de una filtración más grande llamada ‘Lost In Translation’ que reúne múltiples vulnerabilidades que van desde molestias simples hasta severas”, aseveró Bogdan Botezatu, analista senior de e-threat de Bitdefender. “Esperamos que la mayoría de estas hazañas de ‘grado gubernamental’ lo hagan al dominio público y se fusionen con malware de grado comercial”.