Actualidad Info Actualidad

Aún existen miles de variantes de corta duración: 12.480 variantes únicas observadas por Sophos a fines de 2018 y 6.963 en agosto de 2019

Sophos sigue la evolución de WannaCry de depredador a vacuna de alto riesgo

Redacción Interempresas19/09/2019
1167

Sophos ha publicado el informe ‘WannaCry Aftershock’, un documento sobre lo que ha ocurrido con el famoso malware WannaCry, tras el ataque mundial que comenzó el 12 de mayo de 2017. La investigación de SophosLabs muestra que la amenaza de WannaCry sigue activa, con millones de intentos de infección al mes detectados, y que pese a no haber actualización del malware original sí que existen muchos miles de variantes de corta duración actuando libremente.

La supervivencia de la amenaza de WannaCry se debe en gran medida a la capacidad de estas nuevas variantes para evitar el 'kill switch' (sistema de seguridad de emergencia). Sin embargo, cuando los investigadores de Sophos analizaron y ejecutaron diversas muestras, descubrieron que se neutralizaba su capacidad para cifrar datos como resultado de la corrupción del código.

Debido a la forma en la que WannaCry afecta a las nuevas víctimas (comprobando si un ordenador ya está infectado y, en caso afirmativo, pasando a otro objetivo), hace que esa infección mediante la versión inerte del malware proteja de forma efectiva el dispositivo de ser infectado con la cepa activa. En resumen, las nuevas variantes del malware actúan por error como una vacuna, ofreciendo a los ordenadores aún no parcheados y vulnerables una especie de inmunidad contra el ataque posterior de ese mismo malware.

Sin embargo, el hecho mismo de que estos ordenadores pudieran estar infectados en primera instancia indica que no se les había instalado el parche contra la principal vulnerabilidad utilizada en los ataques de WannaCry, un parche que se lanzó hace ya más de dos años.

La investigación de SophosLabs muestra que la amenaza de WannaCry sigue activa

La investigación de SophosLabs muestra que la amenaza de WannaCry sigue activa.

El malware original de WannaCry se detectó tan solo en 40 ocasiones y desde entonces los investigadores de SophosLabs han identificado hasta 12.480 variantes del código original. Una inspección más minuciosa de más de 2.700 muestras, que representan el 98% de las detecciones, reveló que todas habían evolucionado para omitir el 'kill switch' (una URL específica que, si el malware se conecta a ella, finaliza automáticamente el proceso de infección), que todas contaban con un componente de ransomware corrupto y que no fueron capaces de cifrar los datos.

En agosto de 2019, la telemetría de Sophos detectó 4.3 millones de casos de WannaCry. El número de variantes observadas fue de 6.963. De estas, 5.555 ó un 80% eran archivos nuevos.

Los investigadores de Sophos también han rastreado la primera aparición de la variante corrupta más extendida en la actualidad hasta llegar a tan sólo dos días después del ataque original: el 14 de mayo de 2017, cuando se subió a VirusTotal, pero aún no se había liberado.

“El brote de WannaCry de 2017 cambió el panorama de amenazas para siempre. Nuestra investigación destaca cuántos ordenadores sin parchear existen aún, y si no se han instalado actualizaciones lanzadas hace más de dos años, ¿cuántos otros parches se han perdido? En este caso, algunas víctimas han tenido suerte porque las variantes del malware las inmunizaron contra las versiones más recientes. Pero ninguna empresa debería confiar en ello. En cambio, la práctica estándar debería ser contar con una política de instalación de parches cada vez que se emiten, y una solución de seguridad sólida que cubra todos los endpoints, redes y sistemas", dice Peter Mackenzie, especialista en seguridad de Sophos y autor principal de la investigación.

Cómo protegerse del malware WannaCry y del ransomware en general

  • Comprobar que se tiene un inventario completo de todos los dispositivos conectados a la red y que todos están actualizados en los términos de su software de seguridad.
  • Instalar siempre en todos los dispositivos de la red los últimos parches tan pronto como se publiquen.
  • Verificar si los ordenadores están parcheados contra el exploit EternalBlue utilizado en WannaCry siguiendo estas instrucciones: Cómo verificar si una máquina es vulnerable a EternalBlue - MS17-010.
  • Mantener copias de seguridad periódicas de los datos más importantes y actuales en un dispositivo de almacenamiento offline como mejor práctica para evitar tener que pagar un rescate en caso de verse afectado por el ransomware.
  • No existe una panacea para la seguridad, y un modelo de seguridad en capas es la mejor práctica que todas las empresas deberían implementar.
  • Por ejemplo, Sophos Intercept X emplea un enfoque integral de defensa en profundidad para la protección de endpoints, que combina múltiples técnicas de última generación líderes del mercado ofreciendo detección de malware, protección contra exploits y la integración de detección y respuesta para endpoint (EDR).

Comentarios al artículo/noticia

Nuevo comentario

Identificarse | Registrarse 

Atención

Los comentarios son la opinión de los usuarios y no la del portal. No se admiten comentarios insultantes, racistas o contrarios a las leyes vigentes. No se publicarán comentarios que no tengan relación con la noticia/artículo, o que no cumplan con el Aviso legal y la Política de Protección de Datos.

Advertencias Legales e Información básica sobre Protección de Datos Personales:
Responsable del Tratamiento de sus datos Personales: Interempresas Media, S.L.U. Finalidades: Gestionar el contacto con Ud. Conservación: Conservaremos sus datos mientras dure la relación con Ud., seguidamente se guardarán, debidamente bloqueados. Derechos: Puede ejercer los derechos de acceso, rectificación, supresión y portabilidad y los de limitación u oposición al tratamiento, y contactar con el DPD por medio de lopd@interempresas.net. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar una reclamación ante la AEPD.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos