Un año después EternalBlue sigue amenazando a sistemas desprotegidos y sin parche
- Vulnerabilidades
Responsable del ransomware WannaCry y del ataque NotPetya, el uso del exploit ha ido en aumento, alcanzando nuevos picos máximos a mediados de abril. ESET atribuye esta alza en las detecciones a la campaña del ransomware Satan, detectado en esas fechas.
También puedes leer... Privacidad y protección de datos en aplicaciones móviles |
Hace un año, el ransomware WannaCry, también conocido como WannaCryptor.D o WCrypt, provocó uno de los incidentes de ciberseguridad más graves. Aunque la amenaza no está causando mayores daños que entonces, el exploit EternalBlue que hay detrás del ransomware, aún es una grave amenaza para sistemas desprotegidos y sin parche. Prueba de ellos son los datos de la telemetría de ESET LiveGrid, que indican que la popularidad de EternalBlue creció durante los últimos meses e incluso se detectaron picos de actividad que superaron a los registrados en 2017.
Tras un período de calma tras la campaña de WannaCry, en la que los intentos de utilización de EternalBlue cayeron a “solo” cientos de detecciones, desde septiembre el ritmo del uso del exploit ha ido creciendo de manera sostenida, alcanzando nuevos picos máximos a mediados de abril de 2018. Para ESET, una posible explicación para esta alza en las detecciones es la campaña del ransomware Satan, detectado en esas fechas.
EternalBlue se aprovecha de una vulnerabilidad causada por un fallo por parte de Microsoft en la implementación del protocolo del Server Message Block (SMB), propagándose a través del puerto 445. En un ataque, los cibercriminales buscan en Internet puertos SMB expuestos, y en caso de encontrarlos, ejecutan el exploit. Si el sistema atacado es vulnerable se ejecutará el código malicioso elegido por el atacante. Microsoft emitió actualizaciones que reparaban dicha vulnerabilidad con rapidez, sin embargo, aún a día de hoy sigue habiendo muchos ordenadores en los cuales los parches no han sido instalados.
Además de WannaCry, EternalBlue también permitió la realización del destructivo ataque Diskcoder.C, también conocido como Petya, NotPetya y ExPetya, y fue utilizado por el grupo de ciberespionaje Sednit para atacar redes Wi-Fi en hoteles de Europa. El exploit también ha sido identificado como uno de los mecanismos de propagación de mineros de criptomonedas maliciosos.
Este exploit y todos los ataques que ha permitido hasta el momento, remarca la importancia de aplicar los parches de seguridad lo antes posible y la necesidad de disponer de una solución de seguridad fiable, señala ESET.