A un año de WannaCry el exploit EternalBlue sigue siendo un vector de infección

El viernes 12 de mayo de 2017, la comunidad global fue testigo del comienzo de la mayor infección de ransomware en la historia. El fabricante de automóviles Renault tuvo que cerrar su fábrica más grande en Francia y los hospitales en el Reino Unido tuvieron que rechazar a los pacientes. El gigante alemán del transporte Deutsche Bahn, la española Telefónica, la distribuidora de electricidad de Bengala Occidental, FedEx, Hitachi y el Ministerio Interior Ruso también resultaron afectados.

Wannacry logró afectar a más de 200 mil sistemas en 150 países. Según Kaspersky Lab, el país más afectado fue Rusia, con 33.64% de las empresas afectadas, seguido por Vietnam (12.45%) e India (6.95%). Entre los países más afectados en América Latina se encontraban Brasil, México y Colombia, los cuales estuvieron entre los 20 países más afectados a nivel global, seguidos por Perú, Ecuador y Chile.

La novedad en este ataque fue la forma de propagación, usando el exploit EternalBlue – vulnerabilidad en el protocolo SMB, dada a conocer semanas antes por el grupo Shadowbrokers – la cual instalaba, a través de Internet, la puerta trasera DoublePulsar, utilizada para inyectar código malicioso sin requerir de interacción alguna con los usuarios. Una vez que los equipos eran infectados, WannaCry cifraba la información y extorsionaba a las víctimas, solicitándoles pagar un rescate para recuperar su información.

WannaCry dejó a simple vista lo fácil que era explotar una vulnerabilidad conocida para el sistema operativo Microsoft Windows. Pese a que el parche ya estaba disponible, muchos administradores de sistemas se dieron cuenta que su red estaba expuesta cuando ya era tarde.

A pesar de la difusión que tuvo el ataque, un año después el exploit EternalBlue sigue siendo un vector de infección, no solo para ransomware, sino también para otras infecciones con malware. Esto se debe a la falta de instalación de los parches correspondientes de Microsoft para cerrar estas vulnerabilidades.

Según estadísticas de Kaspersky Lab, el 65% de las empresas afectadas por ransomware durante 2017 perdió acceso a una cantidad significativa de datos o incluso a todos sus datos. Además, una de cada seis de las que pagaron el rescate nunca recuperó sus datos.

 

Con el propósito de hacerle frente a la creciente amenaza que representa el ransomware alrededor del mundo, los expertos de Kaspersky Lab recomiendan a las empresas seguir las siguientes medidas:

 

  1. Verificar que se ha instalado el parche de Microsoft que corrige esta vulnerabilidad en específico y asegurarse de instalar las actualizaciones de seguridad que resuelvan vulnerabilidades en el futuro.

 

  1. Instalar una solución endpoint como Kaspersky Endpoint Security, que gracias a su herramienta Endpoint Detection Response (EDR) busca de manera proactiva a los adversarios y detiene las amenazas antes de que puedan causar daños costosos, respondiendo de manera rápida y efectiva a incidentes y brechas de seguridad, sin afectar la productividad o incurrir en grandes inversiones.

 

  1. Realizar el respaldo de sus datos a menudo. Inclusive, si se encuentra en una situación donde sus archivos han sido cifrados, respalde esos datos ya que la llave para descifrarlos puede estar disponible en unos días y así podrá recuperarlos.

 

  1. En caso de sufrir la infección de ransomware en sus equipos, la recomendación es no pagar el rescate. En su lugar, se insta a las empresas a consultar desde un equipo no infectado la página de la iniciativa No More Ransom, proyecto que reúne a proveedores de seguridad y agentes de la ley para rastrear e interrumpir las actividades de las grandes familias de ransomware, además de ayudar a las personas a recuperar sus datos y socavar el lucrativo modelo comercial de los delincuentes.

 

Además, Kaspersky Lab ofrece dos tipos soluciones que ayudan a las empresas a luchar contra este tipo de amenazas:

  • Kaspersky Anti-Ransomware Tool para empresas es una herramienta gratuita que ofrece seguridad complementaria para proteger a los usuarios corporativos contra el ransomware. La herramienta identifica los patrones de comportamiento del ransomware y protege las terminales basadas en Windows, y se vale de dos tecnologías innovadoras: Kaspersky Security Network y System Watcher. Las singulares capacidades de System Watcher incluyen la posibilidad de bloquear y restaurar cambios perjudiciales. Descargue la herramienta gratuita aquí: https://go.kaspersky.com/Anti-ransomware-tool.html.

 

  • Kaspersky Cloud Sandbox es un servicio por suscripción que permite a los clientes ‘detonar’ archivos sospechosos en un entorno virtual con un informe completo sobre las actividades del archivo. El servicio está diseñado para aumentar la eficiencia de la respuesta a incidentes y la ciberseguridad forense sin ningún riesgo para los sistemas de TI de empresas. Para más información, visite nuestro blog: https://www.kaspersky.es/blog/cloud-sandbox/15832/

Related posts

Apps de banca móvil: ¿Cómo evitar su vulnerabilidad en tu celular?

¿Cómo medir la velocidad de Internet en casa de forma adecuada?

Cinco razones para fortalecer tu perfil profesional en un entorno VUCA