EternalBlue sigue atacando a endpoints empresariales vulnerables

  • Endpoint

Cuando el exploit apareció, provocando la pandemia de WannaCry, Microsoft lanzó parches para las plataformas afectadas. Sin embargo, muchas empresas aún dependen de sistemas y aplicaciones heredados sin parchear que les exponen a riesgos.

RECOMENDADOS:

Tecnologías que dan al dato el protagonismo que merece (WEBINAR) 

Cinco retos de la innovación en cloud

Informe IT Trends 2019: La realidad digital de la empresa española

Mejores prácticas para implementar una plataforma ágil

Robo de credenciales: prioriza la seguridad de tus apps

Instalación de Redes WiFi y LAN en Hoteles

Una investigación de Keysight indica que un peligroso exploit que ha ayudado a los delincuentes a realizar varios ciberataques importantes en los últimos dos años continúa infectando endpoints vulnerables. Se trata de EternalBlue, que ayudó a que el ransomware WannaCry se difundiera mundialmente en 2017, el cual afecta a los sistemas que ejecutan Windows 7 o ediciones anteriores, para el que Microsoft ya publicó actualizaciones de seguridad. Sin embargo, muchas empresas grandes y pequeñas siguen confiando en sistemas heredados que aprovechan el protocolo SMB1 vulnerable que EternalBlue explota para llevar el malware a la infraestructura específica.

"Muchas brechas exitosas en 2018 no involucraron nuevas versiones de malware o métodos de ataque; los exploits existentes que apuntan a vulnerabilidades no parcheadas demostraron ser muy efectivos nuevamente en 2018", explican los investigadores. "A pesar de los años que tiene EternalBlue, el exploit continuó ganando impulso en 2018. Si bien solo afecta a los hosts que ejecutan Windows 7 o ediciones anteriores, los atacantes exploraron en busca de sistemas vulnerables a lo largo de 2018; el número de intentos de escaneo para esta vulnerabilidad fue tres veces mayor en diciembre de 2018 que en enero de 2018".

De acuerdo con la investigación realizada por Keysight, las vulnerabilidades del software siguen constituyendo la mayor parte de los vectores de ataque, impulsando ataques de spam y la explotación remota automatizada. Por ejemplo, una debilidad de Apache Struts similar a la utilizada en el ataque de 2017 a Equifax todavía afectaba a miles de aplicaciones web en 2018.

"Los ataques conocidos y los vectores de ataque siguen siendo exitosos porque el personal de seguridad no abordó las vulnerabilidades de la arquitectura y no aplicó parches", señalan los investigadores. Los malos actores supuestamente explotaron algunas de estas debilidades usando scripts de cryptojacking.