Seguridad

WannaCry, una prueba de fuego para el software de seguridad

EternalBlue, no es una puerta de entrada solo para WannaCry
Escrito por Redacción TICbeat

WannaCry ha protagonizado uno de los ataques más sonados de 2017. A cambio, ha respondido algunas dudas que los usuarios tenían sobre sus sistemas de detección.

Tras la tormenta provocada por la epidemia de ataques masivos que causó el ransomware WannaCry, llega la (relativa) calma y es el momento de evaluar y sacar las conclusiones que se pueden extraer de los datos recogidos durante el incidente y sus consecuencias.

Según fuentes de la empresa de seguridad ESET, el ataque se produjo aprovechando los exploits EternalBlue y DoublePulsar desarrollados por la NSA (Agencia Nacional de Seguridad de EEUU). WannaCry (o WannaCryptor) utilizaba estos dos exploits para instalar y difundir el ransomware que cifraba los archivos de los equipos que infectaba dejándolos irrecuperables.

WannaCry ransomware

Unos días antes, los laboratorios de ESET ya comenzaron a registrar ataques protagonizados por el troyano Adylkuzz en los que se utilizaba este mismo exploit para atacar equipos con el objetivo de minar la criptomoneda Monero. Gracias a la actualización que realizaron en sus sistemas de detección a finales de abril, tras conocerse la filtración de EternalBlue y DoublePulsarEn, el software de seguridad de ESET detectó el malware como Win32/CoinMiner.AFR y Win32/CoinMiner.AFU y bloqueó estos ataques con éxito.

Días más tarde, esta misma actualización serviría para mantener a los más de 110 millones de usuarios que utilizan las suites de seguridad de ESET a salvo de WannaCry.

Por qué instalar un antivirus con función antiransomware

Según los datos recogidos por la empresa de seguridad informática en los días de mayor actividad de este ransomware, 14.383 usuarios reportaron 66.566 intentos de ataque de WannaCry mediante el sistema de alerta temprana ESET LiveGrid integrado en los productos de seguridad de esta compañía, y que actúa como una red en la que las amenazas detectadas en unos equipos sirven como base para proteger a otros equipos.

De esos 14.383 usuarios que reportaron ataques de WannaCry, 9.922 de ellos reportaron que el módulo antiexploits integrado en la solución de seguridad de ESET que tenían instalada había bloqueado 60.187 intentos de ataque, mientras que su sistema Protección de Ataques de Red bloqueó los 6.379 intentos restantes.

Gráfico de detección de infecciones

Todos estos intentos de ataque fueron frustrados gracias al uso de soluciones de seguridad multicapa en las que se combinan, en una única herramienta, distintos módulos de detección, sistemas heurísticos, machine learning y sistemas de bases de datos de firmas con las que se consigue una protección final mucho más efectiva que usando soluciones de una sola capa.

Algunas consultoras independientes especializadas en seguridad informática, como MRG Effitas, han realizado un análisis pormenorizado de los datos obtenidos durante este ataque. De sus conclusiones se desprende que, soluciones de seguridad como ESET Smart Security y ESET Endpoint Security han conseguido detectar y neutralizar todos los ataques de WannaCry, WannaCryptor y de otros malwares que aprovechan los exploits EternalBlue y DoublePulsar para atacar a los sistemas antes de que estos inicien su actividad, por lo que los usuarios de estas herramientas de seguridad pudieron respirar aliviados al ver que sus equipos estaban correctamente protegidos y sus datos a salvo de ser cifrados.

No, macOS no es inmune a las amenazas informáticas

En los test realizados por esta misma consultora se pone de manifiesto que no todas las soluciones de seguridad presentes en el mercado estaban preparadas para hacer frente a WannaCry, ya que algunas de ellas ni siquiera conseguían detectarlo, o cuando lo hacían ya era demasiado tarde y WannaCry había logrado cifrar los datos del equipo, lo cual supone un grave problema tanto para empresas, como para usuarios finales.

Después de la tormenta, no siempre llega la calma

No obstante, lejos de poder relajarnos en materia de seguridad, este ataque parece haber servido de revulsivo para otros que han visto en EternalBlue o DoublePulsar una puerta de ataque para propagar su malware, por lo que tomar las medidas oportunas para protegerse de los ataques de este tipo de amenazas resulta vital para los sistemas de las empresas y usuarios finales.

Desde ESET advierten que desde los días posteriores al ataque masivo de WannaCry se ha detectado el aumento de nuevas infecciones y, en especial del ransomware Filecoder.FV, de otros imitadores de WannaCryptor e incluso de ransomwares más sofisticados y agresivos que WannaCry como UIWIX o EternalRocks.

El caos que siguió a la propagación global de WannaCryptor parece haber motivado a otros cibercriminales a aumentar sus esfuerzos en busca de víctimas desprevenidas”, indica Josep Albors, responsable de investigación y concienciación de ESET España.

WannaCry Ransomware

Este ransomware puede utilizar el mismo vector de ataque que WannaCry por lo que el módulo antiexploits y la Protección de Ataques de Red que ya incluyen las soluciones de seguridad de ESET bloquearán el ataque sin mayor problema.

No obstante, desde la empresa de seguridad recomiendan a usuarios y empresas tomar algunas medidas adicionales para proteger la seguridad de sus datos y equipos.

Algunos de estos consejos de seguridad son:

  • Actualiza tu Windows. Dado que los exploits EternalBlue y DoublePulsar son el resultado de una vulnerabilidad de Windows para la que ya se lanzó un parche en marzo, lo primero para proteger tu equipo es instalar dicha actualización. En la página de Microsoft encontrarás más información.
  • Instala un software de seguridad eficaz. El ataque del pasado mes de mayo ha demostrado la eficacia tener instalada una solución de seguridad efectiva como las que ofrece ESET, que se ha posicionado como una de las más efectivas en la detección y bloqueo de la instalación de WannaCry gracias a su protección de múltiples capas.
  • Realiza copias de seguridad periódicas y almacénalas en discos externos que permanezcan desconectados del sistema. De ese modo, tus datos permanecen siempre aislados ante un eventual ataque.
  • Nunca pagues un rescate. En caso de infección por ransomware, nunca pagues el rescate exigido. Nada garantiza que los ciberdelincuentes cumplan su palabra de descifrar y es muy probable que dejen una “puerta trasera” para repetir su ataque y volver a infectarte dentro de algún tiempo ahora que tienen la certeza de que pagarás el rescate.

 

TICbeat.com para ESET.

Sobre el autor de este artículo

Redacción TICbeat

Actualidad y análisis en tecnología, tendencias, aplicaciones web, seguridad, educación, social media y las TIC en la empresa.