Un año atrás el ransomware WannaCryptor.D (también conocido como WannaCry o WCrypt) provocaba uno de los ciberataques más grandes conocidos al momento. Si bien la amenaza en sí no está causando mayores daños a lo largo del mundo, el exploit que fue utilizado durante el ataque, conocido como EternalBlue, aún está amenazando sistemas desprotegidos y sin parche. Los datos de ESET, muestran que su popularidad creció durante los últimos meses e incluso se detectaron picos de actividad que superaron a los registrados en 2017.

La vulnerabilidad EternalBlue está asociada con sistemas operativos de Microsoft en la implementación del protocolo del Server Message Block (SMB), a través del puerto 445. Por lo tanto, si una empresa no tiene correctamente actualizados sus servidores, los cibercriminales podrían buscar puertos SMB expuestos, y en caso de encontrarlos, lanzan el código del exploit. Si logran vulnerarlo, el blanco afectado ejecutará entonces un payload elegido por el atacante. Las características de gusano de WannaCryptor.D aprovechando esta vulnerabilidad fue lo que hizo que se propagara rápidamente a lo largo de las redes.

Según las mediciones de ESET, los intentos de explotación de EternalBlue tuvieron un período de calma inmediatamente después de la campaña de WannaCryptor en 2017. Los meses siguientes al brote los intentos de utilización de los exploits que aprovechaban EternalBlue cayeron a “solamente” cientos de detecciones diarias. Sin embargo, desde septiembre del 2017 el uso de este tipo de exploit comenzó a aumentar su ritmo, creciendo de manera sostenida y alcanzando nuevos picos máximos a mediados de abril de 2018.

“Una posible explicación para esta alza en las detecciones es la campaña del ransomware Satan que se ha detectado cerca de esas fechas, aunque lo cierto es que podría estar conectado a otras actividades maliciosas también.”, mencionó Camilo Gutierrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

EternalBlue permitió que se realizaran ciberataques de gran envergadura. Aparte de WannaCryptor, también impulsó el destructivo ataque Diskcoder.C (también conocido como Petya, NotPetya y ExPetya) de junio de 2017, además de la campaña del ransomware BadRabbit durante los últimos meses del 2017. También fue utilizado por el grupo de ciberespionaje Sednit (conocido como APT28, Fancy Bear and Sofacy) para atacar redes Wi-Fi en hoteles de Europa. Los exploit asociados con EternalBlue también fueron identificados como uno de los mecanismos de propagación de mineros de criptomonedas maliciosos. Y recientemente, fue utilizado para distribuir la campaña del ransomware Satan, descrito días después de que la telemetría de la compañía detectara los picos de EternalBlue de mediados de abril de 2018.

“Microsoft emitió actualizaciones que repararon la vulnerabilidad SMB el 14 de marzo de 2017, pero al día de hoy existen muchas computadoras sin parches. Este exploit y todos los ataques que ha permitido hasta el momento, no hace más que remarcar la importancia de contar con parches a tiempo, así como también la necesidad de disponer de una solución de seguridad confiable que cuente con varias capas de seguridad y que sea capaz de bloquear la herramienta maliciosa subyacente.”, concluyó Camilo Gutierrez.