WannaCry sigue activo, con millones de intentos de infección al mes
- Endpoint
Sólo en agosto se detectaron cerca de 7.000 variantes únicas de corta duración, que fueron responsables de 4,3 millones de intentos de infección. La supervivencia de WannaCry se debe en gran medida a la capacidad de estas nuevas variantes para evitar el sistema de seguridad de emergencia.
Tras el ataque mundial que comenzó el 12 de mayo de 2017, el malware WannaCry sigue dando qué hablar. De hecho, Sophos ha publicado el informe “WannaCry Aftershock”, que muestra que la amenaza sigue activa, con millones de intentos de infección al mes detectados, y que, pese a no haber actualización del malware original, sí que existen muchos miles de variantes de corta duración actuando libremente. En agosto de 2019, la telemetría de Sophos detectó 4,3 millones de casos de WannaCry, y el número de variantes observadas fue de 6.963, de las que un 80% eran archivos nuevos.
La supervivencia del ransomware se debe en gran medida a la capacidad de estas nuevas variantes para evitar el sistema de seguridad de emergencia, llamado 'kill switch'. Sin embargo, cuando los investigadores de Sophos analizaron y ejecutaron diversas muestras, descubrieron que se neutralizaba su capacidad para cifrar datos como resultado de la corrupción del código.
Para propagarse a nuevas víctimas, WannaCry comprueba si un ordenador ya está infectado y, en caso afirmativo, pasa a otro objetivo. Ello hace que esa infección mediante la versión inerte del malware proteja de forma efectiva el dispositivo de ser infectado con la cepa activa. En resumen, las nuevas variantes del malware ofrecen a los ordenadores vulnerables una especie de inmunidad contra el ataque posterior de ese mismo malware. Sin embargo, el hecho de que estos ordenadores pudieran ya estar infectados demuestra que no se les había instalado el parche contra la principal vulnerabilidad utilizada en los ataques de WannaCry, el cual se lanzó hace ya más de dos años.
El malware original de WannaCry se detectó tan solo en 40 ocasiones, y desde entonces los investigadores de SophosLabs han identificado hasta 12.480 variantes del código original. Una inspección más minuciosa de más de 2.700 muestras, que representan el 98% de las detecciones, reveló que todas habían evolucionado para omitir el 'kill switch', que todas contaban con un componente de ransomware corrupto y que no fueron capaces de cifrar los datos.
Para protegerse del malware WannaCry y del ransomware en general, Sophos recomienda comprobar que se tiene un inventario completo de todos los dispositivos conectados a la red y que todos están actualizados en los términos de su software de seguridad, con los últimos parches tan pronto como se publiquen. Verificar si los ordenadores están parcheados contra el exploit EternalBlue utilizado en WannaCry siguiendo estas instrucciones: Cómo verificar si una máquina es vulnerable a EternalBlue - MS17-010
