Wannacry: luego de un año de su aparición, la vulnerabilidad que lo provocó sigue vigente

ESET identificó que la vulnerabilidad utilizada durante el ataque, conocido como EternalBlue, aún está siendo utilizada por atacantes para amenazar sistemas desprotegidos y sin parche, mostrando incluso que algunos exploits se han venido usando con mayor popularidad en los últimos meses. 11/05/18
 

Por: Reseller / Agencias

Un año atrás el ransomware WannaCryptor.D (también conocido como WannaCry o WCrypt) provocaba uno de los ciberataques más grandes conocidos al momento. Si bien la amenaza en sí no está causando mayores daños a lo largo del mundo, el exploit que fue utilizado durante el ataque, conocido como EternalBlue, aún está amenazando sistemas desprotegidos y sin parche. Los datos telemétricos de ESET, muestran que creció durante los últimos meses e incluso se detectaron picos de actividad que superaron a los registrados en 2017.

La vulnerabilidad EternalBlue está asociada con sistemas operativos de Microsoft en la implementación del protocolo del Server Message Block (SMB), a través del puerto 445. Por lo tanto, si una empresa no tiene correctamente actualizados sus servidores, los cibercriminales podrían buscar puertos SMB expuestos, y en caso de encontrarlos, lanzan el código del exploit. Si logran vulnerarlo, el blanco afectado ejecutará entonces un payload elegido por el atacante. Las características de gusano de WannaCryptor.D aprovechando esta vulnerabilidad fue lo que hizo que se propagara rápidamente a lo largo de las redes.

Según la telemetría de ESET, los intentos de explotación de EternalBlue tuvieron un período de calma inmediatamente después de la campaña de WannaCryptor en 2017. Los meses siguientes al brote los intentos de utilización de los exploits que aprovechaban EternalBlue cayeron a “solamente” cientos de detecciones diarias. Sin embargo, desde septiembre del 2017 el uso de este tipo de exploit comenzó a aumentar su ritmo, creciendo de manera sostenida y alcanzando nuevos picos máximos a mediados de abril de 2018.

“Una posible explicación para esta alza en las detecciones es la campaña del ransomware Satan que se ha detectado cerca de esas fechas, aunque lo cierto es que podría estar conectado a otras actividades maliciosas también.”, mencionó Camilo Gutierrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

EternalBlue permitió la realización de ciberataques de gran envergadura. Aparte de WannaCryptor, también impulsó el destructivo ataque Diskcoder.C (también conocido como Petya, NotPetya y ExPetya) de junio de 2017, además de la campaña del ransomware BadRabbit durante los últimos meses del 2017. También fue utilizado por el grupo de ciberespionaje Sednit (conocido como APT28, Fancy Bear and Sofacy) para atacar redes Wi-Fi en hoteles de Europa. Los exploit asociados con EternalBlue también fueron identificados como uno de los mecanismos de propagación de mineros de criptomonedas maliciosos. Y recientemente, fue utilizado para distribuir la campaña del ransomware Satan, descrito días después de que la telemetría de la compañía ESET detectara los picos de EternalBlue de mediados de abril de 2018.