Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Windows 7 representa la mayoría de las infecciones de WannaCry

Las estadísticas muestran que las computadoras que ejecutan Windows 7 representan la mayor proporción de máquinas infectadas con el ransomware WannaCry.

La falla en la actualización del último sistema operativo fue citada inicialmente como una de las razones por las...

que más de 200 mil computadoras en 150 países fueron rápidamente infectadas por WannaCry.

Los fideicomisos de NHS fueron las organizaciones más gravemente afectadas en el Reino Unido, lo que también parecía apuntar a un fracaso de muchos de actualizar desde Windows XP como la razón por la que fueron especialmente afectados.

Pero los investigadores han descubierto que, de hecho, Windows 7, particularmente la edición de 64 bits, fue más afectada y es responsable por la amplia y rápida propagación del ataque.

Según la firma de seguridad Kaspersky Lab, más del 98% de las computadoras con Windows 7 que monitoreaba fueron afectadas por infecciones de WannaCry, según informó Bleeping Computer, mientras que la firma de ratings de seguridad BitSight encontró que el 67% de las infecciones afectaron a Windows 7, según Reuters.

"Distribución de la infección #WannaCry por la versión de Windows. Peor golpe - Windows 7 x64. El conteo de Windows XP es insignificante", tuiteó Costin Raiu, director del equipo de investigación y análisis global de Kaspersky Lab.

Las computadoras con Windows XP que estaban comprometidas probablemente fueron infectadas manualmente con fines de prueba, dijo en un tuit posterior.

Según los investigadores, Windows XP no fue tan afectado por el ataque de WannaCry porque las computadoras se cayeron antes de que el ransomware pudiera apoderarse de ellas.

El hecho de que las computadoras ejecutando Windows 7 fueran las más afectadas indica que es probable que un fallo en la instalación de la actualización de seguridad crítica MS17-010 sea la razón principal del éxito del ataque, y el hecho de que la edición de 64 bits fuera la peor afectada indica que el parche es particularmente pobre en las empresas, que son los principales usuarios de esa edición.

Subrayando aún más la importancia del parchado y las dificultades que enfrenta el NHS a este respecto de los proveedores de equipos médicos, Grant Harris, jefe de operaciones de TI en el Fideicomiso de la Fundación NHS de los Hospitales de Western Sussex dijo que es hora de que NHS empuje de nuevo a sus proveedores de sistemas que prohíben aplicar los últimos parches en caso de que rompa su software.

"Los proveedores de sistemas de patología parecen ser los peores, afirmando que sus sistemas no son sistemas Windows sino dispositivos de patología, y por lo tanto no pueden tener ningún parche aplicado nunca", escribió en un post en LinkedIn.

Harris dijo que hay una necesidad de tomar medidas contra los proveedores de parada que solo probarán parches contra su última y mejor versión.

Pidió a las organizaciones del NHS que incluyan en las futuras adquisiciones el requisito de que probarán cualquier parche crítico/actualizaciones publicadas dentro de los cinco días hábiles de su lanzamiento, que dichas pruebas se llevarán a cabo contra cualquier versión soportada del software, aplicación, servicio o dispositivo, y que las pruebas se concluirán dentro de los 10 días hábiles siguientes a la liberación del parche/actualización y la autoridad dada al cliente para implementar, o en el caso de un sistema/aplicación o dispositivo administrado, ser aplicados por el proveedor.

Las pruebas de parches deben incluir software de terceros

Harris dijo que la prueba de los parches no debe limitarse a sistemas operativos, bases de datos y navegadores, sino incluir cualquier software de terceros requerido por el software, la aplicación o el dispositivo para funcionar.

Aunque el método inicial de infección es desconocido, las indicaciones son que el exploit EternalBlue del protocolo de bloque de mensajes de servidor (SMB) de Microsoft desarrollado por la Agencia de Seguridad Nacional de Estados Unidos (NSA, por sus siglas en inglés) y filtrado por el grupo de hackers Shadow Brokers, no solo se utilizó para propagar la infección, sino también para infectar las máquinas con el puerto 445 SMB abierto.

"Todo tipo de expertos en los medios están diciendo que el vector inicial fue un correo electrónico de phishing, pero no hay evidencia de eso hasta el momento", dijo el vicepresidente senior y compañero de Neustar, Rodney Joffe.

"Las indicaciones son que probablemente no fue un correo electrónico de phishing. Puede que haya sido lanzado por otro pedazo de malware o puede haber sido un ataque al puerto 445", dijo en la sesión inaugural del Consejo de Seguridad Internacional de Neustar (Nisc) en Londres.

Joffe, ex director del Grupo de Trabajo Conficker oficial, advirtió que cerca de 700 mil computadoras conectadas a internet siguen infectadas con el gusano Conficker, diseñado para desactivar el antivirus y detener las actualizaciones automáticas de Windows.

"Esto significa que al menos 700 mil computadoras están garantizadas como vulnerables ante WannaCry o cualquier otro malware que explota la misma vulnerabilidad en SMB", dijo.

Esto subraya la importancia de parchar tan pronto como sea posible hacerlo, dijo Joffe. "Si todas esas máquinas hubieran sido parchadas contra Conficker, ahora serían menos propensas a ser vulnerables al malware que explota el defecto SMB".

EternalBlue de NSA utilizado para exfiltrar las credenciales de usuario

Según la firma de seguridad Secdo, ha encontrado evidencia de que varios grupos usaron el exploit de EternalBlue de NSA para infectar, instalar puertas traseras y exfiltrar credenciales de usuario en redes alrededor del mundo, incluyendo en los Estados Unidos, tres semanas antes del ataque de WannaCry.

Estos ataques podrían representar un riesgo mucho mayor que WannaCry, de acuerdo con Secdo, porque incluso si las empresas eran capaces de bloquear WannaCry y parchar la explotación de SMB Windows, una puerta trasera puede persistir y las credenciales comprometidas pueden ser utilizadas para recuperar el acceso.

Secdo dijo que a finales de abril algunos de sus clientes informaron de ser atacados por un ransomware indetectable, mucho más avanzado que WannaCry. El ransomware es la carga útil más aparente, pero Secdo fue capaz de detectar un ataque más sofisticado bajo la superficie.

Secdo concluye que los actores detrás de estos ataques están utilizando el marco de la NSA para desplegar hilos dentro de aplicaciones legítimas, esencialmente haciéndose pasar por ellas, evadiendo incluso los sistemas antivirus de última generación más avanzados.

Aunque esta no es una idea completamente nueva, la firma de seguridad dijo que esta técnica ha sido utilizada principalmente por actores estatales en el pasado para evitar los sistemas de seguridad de la mayoría de los proveedores.

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Guía Esencial

Guía Esencial: WannaCry y lo que aprendimos de este ataque de ransomware

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close