Ciberseguridad
Ransomware
cibercrimen

El 'ransomware' de WannaCry indica el principio de más ciberataques

Los investigadores aseguran que los cibercriminales sacarán provecho de esta vulnerabilidad y usarán el mismo defecto de SMB.

Cibercrimen

Miles de organizaciones de todo el mundo fueron sorprendidas por el ataque al ransomware de WannaCry lanzado el pasado viernes. La diferencia entre los ataques anteriores y este último último es un componente tipo gusano que infecta a otros equipos al explotar una vulnerabilidad de ejecución remota de código crítico en la implementación de Windows del protocolo Server Message Block 1.0 (SMBv1).

Un investigador que utiliza el alias en línea MalwareTech se dio cuenta de que esto podría ser aniquilador y registró el propio dominio para frenar la propagación del ransomware.

Los atacantes de WannaCry adaptaron una vulnerabilidad existente filtrada en abril por un grupo llamado Shadow Brokers. El nombre de código EternalBlue, se supone que forma parte de un grupo de ciberespionaje, vinculado a la Agencia de Seguridad Nacional de Estados Unidos.

Desde entonces, los investigadores han descubierto un par de versiones más y han logrado registrar una de ellas. Según los expertos, los ataques de WannaCry continuarán ya que a pesar de que los parches están disponibles, muchos sistemas probablemente seguirán siendo vulnerables por algún tiempo.

"Probablemente va a empeorar antes de que mejore, ya que va a ser una de las amenazas más graves para los próximos 12 meses", asegura Catalin Cosoi, estratega jefe de seguridad de Bitdefender. “Los grupos de ciberespionaje patrocinados por el estado puede que aprovechen el defecto SMB para plantar puertas traseras en los ordenadores, mientras que los defensores están ocupados con el ataque de ransomware mucho más visible.

El éxito de WannaCry demostró que un gran número de organizaciones se están quedando atrás en los parches ya que tienen sistemas heredados que ejecutan versiones antiguas de Windows. Uno de los problemas principales es que muchas organizaciones no disponen de recursos financieros para actualizar o reemplazar estos sistemas, sin embargo, existen medidas que se pueden tomar para proteger esos sistemas, como aislarlos en segmentos de red donde el acceso está estrictamente controlado o desactivando protocolos y servicios innecesarios.

"Hay ciertas organizaciones o sectores donde el parche no es una cuestión sencilla", dijo Carsten Eiram, director de investigación de la firma de inteligencia de vulnerabilidad Risk Based Security. "En esos casos, es imperativo que entiendan correctamente los riesgos y miren soluciones alternativas para limitar la amenaza".

El éxito de WannaCry, ha demostrado a los ciberdelincuentes que hay muchos sistemas vulnerables en las redes empresariales que pueden ser objeto de antiguas explotaciones.

"La hazaña de EternalBlue es parte de una filtración más grande llamada 'Lost In Translation' que reúne múltiples vulnerabilidades que van desde molestias simples hasta severas", dijo Bogdan Botezatu, analista senior de e-threat de Bitdefender. "Esperamos que la mayoría de estas hazañas de 'grado gubernamental' lo hagan al dominio público y se fusionen con malware de grado comercial".

 

 



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper