igor - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

El exploit EternalBlue de WannaCry aún es una amenaza

Un año después de los ataques globales de WannaCry, el exploit de EternalBlue que fue un habilitador clave del malware sigue siendo una amenaza para muchas organizaciones, y muchas firmas no han tomado medidas, advierten investigadores de seguridad.

WannaCry ya no está causando estragos en el mundo de los negocios, pero un año después de que el malware paralizó las operaciones comerciales en todo el mundo, un elemento clave del ataque sigue siendo una amenaza, y pocas organizaciones han tomado medidas para mejorar sus defensas, reveló una investigación.

El exploit que permitió la rápida expansión de WannaCry, conocida como EternalBlue, sigue amenazando a los sistemas sin parches y desprotegidos, según datos de telemetría de la firma de seguridad Eset.

Los investigadores de la compañía advierten que la popularidad de EternalBlue ha estado creciendo en los últimos meses, y un pico en abril de 2018 incluso superó los picos más altos de 2017.

Los datos de Eset muestran que EternalBlue tuvo un período más calmado inmediatamente después de la campaña de WannaCry de 2017, con los intentos de utilizar el exploit EternalBlue cayendo a "solo" cientos de detecciones diarias.

Sin embargo, desde septiembre del año pasado, el uso del exploit ha comenzado lentamente a ganar ritmo nuevamente, creciendo continuamente y alcanzando nuevas alturas a mediados de abril de 2018.

El exploit de EternalBlue apunta a una vulnerabilidad en una versión obsoleta de la implementación del protocolo de bloque de mensajes del servidor (SMB) de Microsoft, a través del puerto 445, y le dio a WannaCry su habilidad de gusano para propagarse a través de las redes.

En un ataque, los ciberdelincuentes y otros actores de amenazas escanean internet en busca de puertos SMB expuestos, y si los encuentran, lanzan el código de exploit y la carga útil de malware de su elección.

Según los investigadores de seguridad, los exploits del protocolo SMB de Microsoft han sido un éxito "absoluto" para los escritores de malware, con EternalBlue siendo un componente clave de los destructivos ataques globales NotPetya en junio de 2017. Fue utilizado por el grupo de espionaje cibernético Sednit (también conocido como APT28, Fancy Bear y Sofacy) para atacar las redes Wi-Fi en los hoteles europeos.

El exploit también ha sido identificado como uno de los mecanismos de propagación de criptomineros maliciosos. Más recientemente, se implementó para distribuir la campaña de ransomware Satan, descrita solo unos días después de que la telemetría de Eset detectó el pico de EternalBlue, a mediados de abril de 2018.

El exploit de EternalBlue supuestamente fue robado de la Agencia de Seguridad Nacional (NSA) probablemente en 2016, y se filtró en línea el 14 de abril de 2017 por un grupo llamado Shadow Brokers.

"Microsoft emitió actualizaciones que corrigieron la vulnerabilidad SMB el 14 de marzo de 2017, pero hasta el día de hoy existen muchas máquinas sin parchar allá afuera", dijo Ondrej Kubovič, evangelista de seguridad de Eset.

"Este exploit y todos los ataques que ha permitido hasta el momento resaltan la importancia del parchado oportuno, así como la necesidad de una solución de seguridad confiable y multicapa que pueda bloquear la herramienta maliciosa subyacente", dijo en una publicación de blog.

Sistemas sin parches son el 'queso suizo' de la seguridad

Según la firma de seguridad Avast, el 29% de las PC basadas en Windows en todo el mundo todavía funcionan con la vulnerabilidad SMB, mientras que Juniper Networks sitúa la cantidad de dispositivos expuestos en 2,3 millones.

Según Mounir Hahad, jefe de Juniper Threat Labs, la mayoría de los dispositivos que todavía ejecutan versiones vulnerables de SMB se encuentran en los Emiratos Árabes Unidos, EE.UU., Rusia, Taiwán y Japón.

"A medida que continuamos viendo ataques de ransomware exitosos, surge la pregunta: ¿Por qué las personas no tienen copias de seguridad de sus datos críticos? Cada junta directiva debería preguntarle a su CISO sobre la estrategia de respaldo de la compañía", dijo.

"Un ataque de ransomware debe ser una señal en el radar que desperdicia el tiempo de la gente para restaurar desde copias de seguridad, no una debacle de una semana para intentar restablecer el servicio y decidir si pagar el rescate o no", dijo.

En agosto de 2017, Chris Wysopal, cofundador y director de tecnología de la firma de seguridad Veracode, dijo a Computer Weekly que EternalBlue había demostrado ser extremadamente eficaz en la propagación de infecciones de malware a otros sistemas de Microsoft sin parches.

"Es imperativo que los equipos de TI de todos los sectores de todas las industrias se aseguren de que la versión de Windows que están utilizando no sea vulnerable a EternalBlue y, de ser así, adopten las medidas necesarias para remediarlo", dijo.

Wysopal dijo que es probable que los ciberdelincuentes continúen usando EternalBlue hasta que los dispositivos se hayan parchado y ya no sea un vector efectivo para propagar  malware.

Rob Greer, jefe de producto y vicepresidente senior de la firma de seguridad ForeScout, dijo que los sistemas sin parche son el "queso suizo" de la ciberseguridad.

"Y aunque un sistema correctamente parchado puede no ser impermeable al ataque, una correcta higiene de TI puede detener a muchos malos actores en seco. Si los sistemas no pueden ser parchados por razones operativas, la mejor manera de protegerlos es colocarlos en segmentos de red separados", dijo.

"Si bien no existe una solución mágica para la seguridad cibernética, la mayoría de los ataques de ransomware se pueden prevenir a través de la administración de seguridad simple y efectiva, y las mejores prácticas de higiene de TI".

Evite la complacencia y planifique con anticipación, dice experto

Ken Spinner, vicepresidente de ingeniería de campo de la firma de seguridad Varonis, dijo que WannaCry sirvió como una llamada de alerta de seguridad cibernética para muchas organizaciones que se estaban quedando atrás en sus responsabilidades rutinarias de TI.

"Las empresas deberían hacer que sea lo más difícil posible para los atacantes tener éxito en su trabajo. Se necesita tiempo, talento y recursos para mantener a raya a los atacantes. Los exploits de la NSA han existido desde hace un tiempo y los atacantes están trabajando duro en nuevas variantes", dijo.

"La seguridad es un problema de la gerencia y un problema de la sala de juntas, y TI y CISO deben estar en la mesa. Las empresas deben prestar atención a la llamada, comprender su riesgo y colocar la seguridad en la parte superior de la agenda: la alternativa podría se perder productividad y costos a medida que las empresas luchan por volver a los negocios usuales después de un ataque.

"Es de naturaleza humana abordar las preocupaciones inmediatas y volver a los viejos patrones. Pero las empresas no pueden bajar la guardia. Debe evitar una sensación de complacencia y planificar de antemano para enfrentar las amenazas más recientes. Los atacantes pensarán en algo nuevo que deje obsoletas algunas medidas preventivas de TI", dijo.

Juniper Networks: Consejos para mitigar el impacto de los ataques de ransomware

  • Parche sus sistemas rápidamente después de que se revele y solucione una vulnerabilidad de seguridad.
  • Haga una copia de seguridad de sus datos críticos y pruebe sus copias de seguridad regularmente.
  • Segmente su red y asegúrese de que el acceso a diferentes segmentos se ajuste a las necesidades de negocios.
  • No otorgue privilegios de administrador a todos los usuarios si no es necesario.
  • Instale sistemas de archivos remotos en un sistema solo si es necesario.
  • Desactive SMBv1 y asegúrese de que SMBv2 no esté expuesto a internet.
  • Invierta en una capacidad avanzada de detección de amenazas persistentes que tenga visibilidad de movimiento lateral.

Próximos pasos

No olvide revisar también:

ESET ofrece dos herramientas gratuitas para recuperar la información

LG Electronics afectado por un ataque sospechoso de WannaCry

Brasil, México y Colombia lideran ataques de ransomware en América Latina

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close