WannaCry se beneficia de las lecciones no aprendidas de Slammer o Conficker
El ataque masivo del ransomware WannaCry del pasado viernes fue decididamente un duro golpe para muchas organizaciones. Pero a pocos les sorprendió su rápida propagación, especialmente los que nos acordamos de Slammer o Conficker.
Esos contagios, de antiguo malware según los estándares actuales, se debieron a vulnerabilidades de Microsoft. WannaCry se propagó de la misma manera. En todas estos casos, Microsoft ya había parcheado esos agujeros.
Por eso podemos deducir que muchos no han aprendido la lección de que debemos buscar e instalar los parches de seguridad lo antes posible para evitar vernos afectados por este tipo de ataques.
Déjà vu
WannaCry, también conocido como Wanna Decrypter 2.0, WCry, WanaCrypt y WanaCrypt0r, explota una vulnerabilidad en Windows que Microsoft solucionó en marzo. El problema se localizaba en el servicio Windows Server Message Block (SMB) que usan los ordenadores con Windows para compartir archivos e impresoras en una red local. Microsoft solucionó la vulnerabilidad con el boletín MS17-010.
Este malware afectó a organizaciones en todo el mundo, incluyendo los hospitales públicos británicos. Los análisis apuntan a que el ataque empleó código filtrado del NSA por un grupo de hackers conocido como los Shadow Brokers.
Es posible que muchos se infectaran por no haber aplicado la actualización de Microsoft. Pero otros lo sufrieron porque usan versiones obsoletas de Windows que ya no reciben soporte, y por lo tanto, ya no disponen de actualizaciones de seguridad. Esta es la razón que Microsoft publicara una extraordinariamente inusual actualización de seguridad para plataformas sin soporte (como Windows XP).
Conficker es un gusano muy extendido que nació en noviembre de 2008 afectando a millones de PCs sin actualizar. Se aprovechaba de una vulnerabilidad de overflow en el servicio Windows Server. Microsoft había publicado un parche 29 días antes de que se detectara la primera infección.
Slammer comenzó su actividad a principios de 2003, explotando una vulnerabilidad en la base de datos Microsoft SQL Server que había sido solucionada 6 meses antes. Muchos de los ordenadores afectados fueron servidores SQL empresariales, lo que permitió al gusano obtener mucha potencia de CPU y conectividad, por lo que se consideró el gusano que se propagó con más velocidad de la historia.
Hay algunos aspectos que son únicos en el ataque de WannaCry. Las típicas infecciones de ransomware se realizan a través de archivos adjuntos o de enlaces comprometidos. En este ataque se aprovecha una vulnerabilidad que permite la ejecución de código remoto, lo que permite infectar una maquina no actualizada sin ninguna intervención de la víctima. Posiblemente el código filtrado de la NSA tiene algo que ver, pero aún hay mucho que investigar.
¿Por qué algunos no actualizan los equipos?
Aparte de todos esos detalles, el hecho es que el ataque empeoró porque los parches no fueron instalados.
Algunos critican que las organizaciones son lentas a la hora de implementar los parches de Windows. Es muy sencillo echarle la culpa a la víctima. Pero la lentitud o el no actualizar los equipos no siempre son señales de apatía o falta de interés.
Muchas veces los departamentos de IT tienen que asegurarse que esas actualizaciones no van a causar un problema en los equipos. Algunas organizaciones continúan usando versiones obsoletas de Windows porque les faltan recursos tanto humanos como financieros, o por que sus antiguos equipos no son compatibles con las nuevas versiones.
Sin embargo el CTO de Sophos, Joe Levy cree que hay algunos parches que no se pueden considerar como opcionales, sea cual sea las políticas de actualización de la organización.
La razón es que hay problemas que son comunes a gran cantidad de equipos, por lo que pueden ser utilizados para realizar a gran escala como el que vimos el viernes. No aplicar los parches hace mucho más sencillo el trabajo de los ciberdelincuentes y perores las consecuencias de un ataque de este tipo.
Por lo tanto nuestro consejo es actualizar nuestros equipos tan a menudo como nos sea posible.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: