ESET TE EXPLICA CÓMO
VERIFICAR SI ESTÁS PROTEGIDO CONTRA WANNACRY
La empresa de
seguridad informática pone a disposición una herramienta que te permite saber
si tu sistema está efectivamente protegido contra la vulnerabilidad que explota
el ransomware WannaCryptor.
ESET, compañía líder en detección proactiva
de amenazas, pone a disposición una herramienta que verifica si tu PC está
parcheada contra la vulnerabilidad que explota WannaCryptor. Este ransomware que
está atacando a miles de computadoras de todo el mundo, se vale de un exploit que
se aprovecha de una vulnerabilidad en Windows; y si bien el parche para la
misma está disponible desde marzo, no todos lo han instalado.
EternalBlue es el nombre del exploit
que le permite a WannaCryptor autoreplicarse y propagarse rápidamente por la
red infectada. Este exploit pertenece a
la lista de archivos filtrados de la NSA por el grupo
Shadow Brokers,
y ya se había tratado de subastar el año pasado. Sin embargo, cambió
de opinión ante la poca perspectiva de ganancia, y decidió vender las
herramientas de la NSA en forma individual.
El 14 de marzo, Microsoft lanzó el
boletín de seguridad MS17-010 que corregía vulnerabilidades críticas en el
protocolo SMB.
En ese entonces, no era evidente que el parche estaba relacionado de alguna
manera con las herramientas de la NSA; recién se supo un mes después, el 14 de
abril, cuando Shadow Brokers reveló lo que había robado.
El período entre que se publicó la
actualización y se hizo público el exploit dio lugar a especulaciones, pero la situación era esta: la
vulnerabilidad explotada por EternalBlue tenía una corrección disponible en
Windows Update, mientras que el exploit en sí mismo también estaba público.
Así, comenzó la carrera entre parchear y explotar, y no fue casual que EternalBlue
se usara de manera creciente a partir de ese momento.
El 12 mayo, EternalBlue se convirtió
en un componente importante del incidente de infección masiva. Los
cibercriminales tenían todos los elementos en sus manos: el ransomware,
WannaCryptor, que estaba activo desde principios de abril, y el exploit
EternalBlue.
“A pesar del panorama planteado,
tanto los usuarios hogareños como las empresas podrían haber evadido el ataque
de este ransomware con características de gusano informático. Primero, dos
meses antes del ataque masivo ya estaba disponible el parche contra la
vulnerabilidad que explota EternalBlue. Si bien no está relacionado a las
rutinas de cifrado del ransomware, bloquea el daño que un equipo pueda sufrir a
causa de otro equipo de la misma red que se haya infectado. Además, la
protección proactiva instalada en el equipo, como una funcionalidad de exploit
blocker o una solución antimalware actualizada, podría haber bloqueado la
infección y detener el ataque en casos en que el malware hubiese logrado
infiltrarse en la red”, comenta Camilo Gutierrez, Jefe de Laboratorio de ESET
Latinoamérica.
“Finalmente, algún grado de control
sobre los datos que entran y salen de los equipos de una red podría haber sido
de utilidad. Muchas compañías decidieron apagar sus computadoras y enviar a los
empleados a sus casas, por miedo a que se vieran comprometidas. Sin embargo, si
hubiesen logrado aislar los equipos de su red e implementar funcionalidades de
detección, esa medida extrema (y contraproducente a los objetivos de una
empresa) podría haber sido evitada”, concluyen desde ESET Latinoamérica.
En la noche del viernes salió la
noticia del “kill switch” que podía poner fin a la propagación del ransomware. @MalwareTech descubrió que el malware hacía una petición
HTTP que debía fallar antes de comenzar su rutina de cifrado. Dado que el
dominio no estaba registrado, todas las peticiones fallaban y permitían al
ransomware seguir su tarea maliciosa; sin embargo, tras analizar el código en
busca de este dominio, el investigador británico pudo comprarlo por 10,69
dólares y redirigió las solicitudes a servidores que enviaban una respuesta.
Así, se detuvo la propagación de la primera variante de esta amenaza.
Pero no tardaron en aparecer otras
variantes. Primero, aparecieron nuevas versiones que evitaban usar ese dominio sobrescribiendo los datos binarios
de la primera versión, usando herramientas como HEXEdit. Luego, se publicaron también
versiones sin el kill switch.
Hasta ahora, las ganancias de este ataque están apenas por encima de los 50
mil dólares, pero ese monto no es nada comparado con el daño causado por la
infección masiva. Nuevamente, se hizo evidente que la explotación de
vulnerabilidades (no necesariamente 0-days) podría tener un impacto enorme en
la operativa de una compañía.
Para comprobar si una computadora está protegida, ESET desarrolló un
simple script que revisa los archivos de actualización en el sistema y busca
aquellos correspondientes al parche de EternalBlue. Si no los encuentra, indicará que el
equipo es vulnerable; si los encuentra, informará que el sistema está
parcheado.
El script está disponible en GitHub y es muy fácil de usar: el usuario debe ejecutarlo, esperar alrededor
de un minuto mientras usa WMCI para revisar la lista y finalmente obtiene el
resultado.
Para
encontrar más información puede ingresar a: https://www.welivesecurity.com/la-es/2017/05/16/check-eternalblue-pc-parcheada-wannacry/
No hay comentarios:
Publicar un comentario