Productos y Servicios PRODUCTOS Y SERVICIOS

Sophos sigue la evolución de WannaCry de depredador a vacuna de alto riesgo

Sophos (LSE: SOPH) líder global en seguridad para protección de redes y endpoints, ha publicado el informe “WannaCry Aftershock”, un documento sobre lo que ha ocurrido con el famoso malware WannaCry, tras el ataque mundial que comenzara el 12 de mayo de 2017. La investigación de SophosLabs muestra que la amenaza de WannaCry sigue activa, con millones de intentos de infección al mes detectados, y que pese a no haber actualización del malware original sí que existen muchos miles de variantes de corta duración actuando libremente.

La supervivencia de la amenaza de WannaCry se debe en gran medida a la capacidad de estas nuevas variantes para evitar el ‘kill switch’ (sistema de seguridad de emergencia). Sin embargo, cuando los investigadores de Sophos analizaron y ejecutaron diversas muestras, descubrieron que se neutralizaba su capacidad para cifrar datos como resultado de la corrupción del código.

Debido a la forma en la que WannaCry afecta a las nuevas víctimas (comprobando si un ordenador ya está infectado y, en caso afirmativo, pasando a otro objetivo), hace que esa infección mediante la versión inerte del malware proteja de forma efectiva el dispositivo de ser infectado con la cepa activa. En resumen, las nuevas variantes del malware actúan por error como una vacuna, ofreciendo a los ordenadores aún no parcheados y vulnerables una especie de inmunidad contra el ataque posterior de ese mismo malware.

Sin embargo, el hecho mismo de que estos ordenadores pudieran estar infectados en primera instancia indica que no se les había instalado el parche contra la principal vulnerabilidad utilizada en los ataques de WannaCry, un parche que se lanzó hace ya más de dos años.

El malware original de WannaCry se detectó tan solo en 40 ocasiones y desde entonces los investigadores de SophosLabs han identificado hasta 12.480 variantes del código original. Una inspección más minuciosa de más de 2.700 muestras, que representan el 98% de las detecciones, reveló que todas habían evolucionado para omitir el ‘kill switch’ (una URL específica que, si el malware se conecta a ella, finaliza automáticamente el proceso de infección), que todas contaban con un componente de ransomware corrupto y que no fueron capaces de cifrar los datos.

En agosto de 2019, la telemetría de Sophos detectó 4.3 millones de casos de WannaCry. El número de variantes observadas fue de 6.963. De estas, 5.555 ó un 80% eran archivos nuevos.

Los investigadores de Sophos también han rastreado la primera aparición de la variante corrupta más extendida en la actualidad hasta llegar a tan sólo dos días después del ataque original: el 14 de mayo de 2017, cuando se subió a VirusTotal, pero aún no se había liberado.

“El brote de WannaCry de 2017 cambió el panorama de amenazas para siempre. Nuestra investigación destaca cuántos ordenadores sin parchear existen aún, y si no se han instalado actualizaciones lanzadas hace más de dos años, ¿cuántos otros parches se han perdido? En este caso, algunas víctimas han tenido suerte porque las variantes del malware las inmunizaron contra las versiones más recientes. Pero ninguna empresa debería confiar en ello. En cambio, la práctica estándar debería ser contar con una política de instalación de parches cada vez que se emiten, y una solución de seguridad sólida que cubra todos los endpoints, redes y sistemas”, dice Peter Mackenzie, especialista en seguridad de Sophos y autor principal de la investigación.Cómo protegerse del malware WannaCry y del ransomware en general

  • Comprobar que se tiene un inventario completo de todos los dispositivos conectados a la red y que todos están actualizados en los términos de su software de seguridad
  • Instalar siempre en todos los dispositivos de la red los últimos parches tan pronto como se publiquen
  • Verificar si los ordenadores están parcheados contra el exploit EternalBlue utilizado en WannaCry siguiendo estas instrucciones: Cómo verificar si una máquina es vulnerable a EternalBlue – MS17-010
  • Mantener copias de seguridad periódicas de los datos más importantes y actuales en un dispositivo de almacenamiento offline como mejor práctica para evitar tener que pagar un rescate en caso de verse afectado por el ransomware
  • No existe una panacea para la seguridad, y un modelo de seguridad en capas es la mejor práctica que todas las empresas deberían implementar
  • Por ejemplo, Sophos Intercept X emplea un enfoque integral de defensa en profundidad para la protección de endpoints, que combina múltiples técnicas de última generación líderes del mercado ofreciendo detección de malware, protección contra exploits y la integración de detección y respuesta para endpoint (EDR).

 

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: