Home Ciberguerra El software de rescate de WannaCry, sigue en auge

El software de rescate de WannaCry, sigue en auge

Más de dos años después del brote global de WannaCry ransomware, las amenazas siguen proliferando, con más de 12.000 variantes de WannaCry, actualmente en circulación.

Sophos, el proveedor de seguridad cibernética, en su informe “WannaCry Aftershock”, aseguró que el infame malware que atacó ferozmente los sistemas informáticos en todo el mundo hace dos años, sigue vivo y en buen estado.

Aunque la versión original del virus no ha sido actualizada, el informe señala que millones de intentos de infección con WannaCry se detienen cada mes.

El ataque de rescate de WannaCry, que fue reportado por primera vez en mayo de 2017, fue un ataque cibernético a nivel mundial por parte del gusano criptográfico WannaCryry ransomware, que se dirigió a computadoras que ejecutan el sistema operativo Microsoft Windows, cifrando datos y exigiendo pagos de rescate en moneda criptográfica de bitcoin.

Se propagó a través de EternalBlue, un exploit desarrollado por la Agencia de Seguridad Nacional de los Estados Unidos para sistemas Windows antiguos.

Aunque Microsoft había lanzado parches previamente para cerrar la vulnerabilidad, gran parte de la difusión de WannaCry provenía de organizaciones que no los habían aplicado, o que estaban usando sistemas Windows más antiguos que ya habían llegado al final de su vida útil.

La campaña de ransomware causó estragos en todo el mundo, alcanzando un total de 200.000 ordenadores en 150 países, mientras que Sudáfrica, Costa de Marfil, Egipto, Argelia y Marruecos encabezaban la lista de objetivos de ransomware de WannaCry en África en ese momento.

El ataque se detuvo a los pocos días de su descubrimiento, debido a los parches de emergencia liberados por Microsoft y al descubrimiento de un switch de destrucción que evitó que los ordenadores infectados propagaran aún más WannaCry.

En el nuevo informe, Sophos revela que, a pesar de la disponibilidad de parches de seguridad y protección antivirus contra WannaCry, existen más de 12.000 variantes únicas en el mundo. Estas nuevas variantes pueden propagarse más eficazmente y permanecer ocultas durante más tiempo que el WannaCry original. La más frecuente de estas variantes está encerrada en una batalla por la dominación.

“La existencia continua de la amenaza de WannaCry se debe en gran medida a la capacidad de estas nuevas variantes para eludir el interruptor de apagado”, señala el informe.

“Sin embargo, cuando los investigadores de Sophos analizaron y ejecutaron una serie de muestras variantes, descubrieron que su capacidad para cifrar datos se veía neutralizada como resultado de la corrupción del código”.

Sin embargo, el hecho mismo de que estos equipos pudieran estar infectados en primer lugar sugiere que no se ha instalado el parche contra la principal vulnerabilidad utilizada en los ataques de WannaCry, un parche que se lanzó hace más de dos años.

Según el informe, basado en las detecciones de agosto de 2019 de intentos fallidos de infecciones por WannaCry, los EE.UU. siguen siendo el principal país objetivo, con más del 22% de los intentos de infección dirigidos a los ordenadores de ese país. Otros países objetivo son India (8,8%), Pakistán (8,4%), Perú (7,3%), Indonesia (6,7%), Sudáfrica (2,7%), Arabia Saudita (2,3%), lo que refleja la naturaleza global de la amenaza de WannaCry.

Una inspección más detallada de más de 2.700 muestras (que representan el 98% de las detecciones) reveló que todas habían evolucionado para pasar por alto el “kill switch” -una URL específica que, si el malware se conecta a ella, pone fin automáticamente al proceso de infección- y todas tenían un componente de software de rescate corrupto y no podían cifrar los datos, según el informe.

La difusión de WannaCry se vio y sigue viéndose favorecida por el hecho de que las grandes organizaciones tienden a posponer la instalación de parches de actualización de Windows, ya que algunas actualizaciones han causado, históricamente, incompatibilidades con software de terceros.

Este debate sobre si actualizar de inmediato o posponer las actualizaciones hasta que se puedan completar las pruebas continúa hasta el día de hoy, con algunos columnistas técnicos que insisten en aconsejar a los usuarios que no instalen parches de inmediato como método para mitigar las consecuencias de un parche ocasional que no funciona según lo previsto.

“El brote de WannaCry de 2017 cambió el panorama de las amenazas para siempre”, afirma Peter Mackenzie, especialista en seguridad de Sophos y autor principal de la investigación.

“Nuestra investigación resalta cuántos ordenadores sin parchear siguen ahí fuera y, si no ha instalado actualizaciones que se publicaron hace más de dos años, ¿cuántos otros parches se ha perdido?

“En este caso, algunas víctimas han tenido suerte porque las variantes del malware las inmunizaron contra versiones más nuevas. Pero ninguna organización debería confiar en esto. En cambio, la práctica estándar debería ser una política de instalación de parches siempre que se publiquen, y una solución de seguridad robusta que cubra todos los puntos finales, redes y sistemas”.

Aunque hay circunstancias limitadas en las que algunos grupos específicos de usuarios no quieren que una computadora descargue e instale actualizaciones del sistema operativo, casi todas las personas y organizaciones no entran en esta categoría, agrega el informe.

Sin embargo, el continuo aumento de las detecciones de WannaCry hace que surjan advertencias: significa que todavía hay máquinas cuyos propietarios no han instalado una actualización del sistema operativo en más de dos años, y que esas máquinas son vulnerables no sólo a WannaCry, sino a tipos de ataques mucho más peligrosos que han surgido en los últimos dos años.

“Y esto lleva a un punto ineludible: El hecho es que, si los dominios originales de los switches de matanza fueran a quedar repentinamente sin registrar, las potentes y dañinas versiones de WannaCry podrían volver a ser virulentas, distribuidas por y para una plétora de máquinas vulnerables y sin parches”, advierte el informe.

Con información de: Computing España.