Ha pasado un año desde que el ransomware WannaCryptor.D (también conocido como WannaCry o WCrypt) provocó uno de los incidentes de ciberseguridad más grandes que el mundo haya conocido hasta el momento. Y si bien la amenaza en sí no está causando mayores daños que entonces, el exploit que activa el brote, conocido como EternalBlue, aún está amenazando sistemas desprotegidos y sin parche. Así lo muestran los datos de la telemetría de ESET, el mayor fabricante de software de seguridad de la Unión Europea. Según los datos de ESET LiveGrid su popularidad creció durante los últimos meses e incluso se detectaron picos de actividad que superaron a los registrados en 2017.
Según la telemetría de ESET, EternalBlue tuvo un período de calma inmediatamente después de la campaña de WannaCryptor en 2017. De hecho, en los meses siguientes los intentos de utilización del exploit EternalBlue cayeron a “solo” cientos de detecciones diarias. Sin embargo, desde septiembre del año pasado el ritmo del uso del exploit ha ido en aumento, creciendo de manera sostenida y alcanzando nuevos picos máximos a mediados de abril de 2018. Una posible explicación para esta alza en las detecciones es la campaña del ransomware Satan, detectado en esas fechas.
EternalBlue como puerta de entrada
El exploit EternalBlue se aprovecha de una vulnerabilidad (descrita en el boletín de seguridad de Microsoft MS17-010) causada por un fallo por parte de Microsoft en la implementación del protocolo del Server Message Block (SMB), propagándose a través del puerto 445. En un ataque, los cibercriminales buscan en Internet puertos SMB expuestos (normalmente utilizados en sistemas de redes corporativas), y en caso de encontrarlos, ejecutan el exploit. Si el sistema atacado es vulnerable se ejecutará el código malicioso elegido por el atacante. Este fue el mecanismo utilizado el año pasado para la efectiva propagación del ransomware WannaCryptor.D por miles de redes corporativas.
El método de infiltración utilizado por EternalBlue no afecta a los dispositivos protegidos por ESET, ya que una de sus múltiples capas de protección – el módulo de protección contra ataques de red– bloquea esta amenaza en el punto de entrada. “Esto puede compararse con que alguien a las 2 a.m. golpee la puerta suavemente intentando averiguar si alguien aún está despierto. Como esta actividad es más frecuente que sea realizada por alguien con malas intenciones, la entrada es sellada para mantener al intruso fuera”, explica Ondrej Kubovic, Security Evangelist de ESET. Este extremo quedó comprobado durante el brote WannaCryptor el 12 de mayo de 2017.
EternalBlue permitió la realización de ciberataques de gran envergadura
EternalBlue permitió la realización de ciberataques de gran envergadura. Aparte de WannaCryptor, también impulsó el destructivo ataque Diskcoder.C (también conocido como Petya, NotPetya y ExPetya) en junio de 2017. Por si fuera poco, también fue utilizado por el grupo de ciberespionaje Sednit para atacar redes Wi-Fi en hoteles de Europa. El exploit también ha sido identificado como uno de los mecanismos de propagación de mineros de criptomonedas maliciosos.
Se especula con que el exploit EternalBlue fue robado a la NSA en 2016 y que fue filtrado por el grupo de ciberdelincuentes Shadow Brokers el 14 de abril de 2017. Microsoft emitió actualizaciones que reparaban dicha vulnerabilidad con rapidez, sin embargo, aún a día de hoy sigue habiendo muchos ordenadores en los cuales los parches no han sido instalados.
Este exploit y todos los ataques que ha permitido hasta el momento, remarca la importancia de aplicarlos parches de seguridad lo antes posible y la necesidad de disponer de una solución de seguridad confiable que cuente con múltiples capas de seguridad capaces de bloquear la herramienta maliciosa subyacente.