Wannacry, las lecciones que aprendimos durante el primer aniversario

Josep Verdura - Analista de Seguridad de Vintegris

Josep Verdura – Analista de Seguridad de Vintegris

El viernes 12 de mayo de 2017, con WannaCry la comunidad global fue testigo del comienzo de la mayor infección de ransomware en la historia.

El fabricante de automóviles Renault tuvo que cerrar su fábrica más grande en Francia y los hospitales en el Reino Unido tuvieron que rechazar a los pacientes por culpa de WannaCry
El gigante alemán del transporte Deutsche Bahn, Telefónica de España qiedó paralaizada, FedEx, Hitachi y el Ministerio Interior Ruso también resultaron afectados por este ataque que se salió de control, inclusive de los cobercriminales.
Wannacry logró afectar a más de 200 mil sistemas en 150 países. El país más afectado fue Rusia, con 33.64% de las empresas afectadas, seguido por Vietnam (12.45%) e India (6.95%).
Entre los países más afectados en América Latina se encontraban Brasil, México, Argentina y Colombia, los cuales estuvieron entre los 20 países más afectados a nivel global, seguidos por Perú, Ecuador y Chile.
La novedad en este ataque fue la forma de propagación, usando el exploit EternalBlue – vulnerabilidad en el protocolo SMB, dada a conocer semanas antes por el grupo Shadowbrokers – la cual instalaba, a través de Internet, la puerta trasera DoublePulsar, utilizada para inyectar código malicioso sin requerir de interacción alguna con los usuarios.
Una vez que los equipos eran infectados, WannaCry cifraba la información y extorsionaba a las víctimas, solicitándoles pagar un rescate para recuperar su información.
WannaCry dejó a simple vista lo fácil que era explotar una vulnerabilidad conocida para el sistema operativo Microsoft Windows.
Pese a que el parche ya estaba disponible, muchos administradores de sistemas se dieron cuenta que su red estaba expuesta cuando ya era tarde.

EternalBlue

A pesar de la difusión que tuvo el ataque, un año después el exploit EternalBlue sigue siendo un vector de infección, no solo para ransomware, sino también para otras infecciones con malware.
Esto se debe a la falta de instalación de los parches correspondientes de Microsoft fundamentalmente y de otras marcas también, para cerrar estas vulnerabilidades.

 

Por Josep Verdura – Analista de Seguridad de Vintegris