Un 12 de Mayo, pero del año 2017, un nuevo “virus” informático ponía en alerta a empresas y usuarios de todo el mundo. Gran cantidad de equipos de diferentes compañías en 150 países se veían afectados por una amenaza que se propagaba sin precedentes. El ransomware WannaCry cifraba los archivos de un equipo e inmediatamente se propagaba a otro y otro equipo en la red, explotando una vulnerabilidad que pocos habían parcheado y sin ningún tipo de intervención por parte del usuario. Días más tarde, el mundo entero estaba hablando de seguridad informática y este nuevo malware estaba en boca de todos. ¿Qué era esta amenaza que pocos conocían y cómo había logrado hacerse paso por la red sin que nadie la ejecute?

Tres años después, el mundo entero se encuentra en vilo y expectante por la aparición del COVID-19, un nuevo coronavirus que se trasmite casi indetectablemente de persona a persona y con una elevada tasa de contagio. Y mientras el mundo espera ansioso el descubrimiento de una vacuna o cualquier tipo de “cura” para esta nueva enfermedad, muchos ya hablan de que la llegada del COVID-19 marcará un antes y un después en el mundo tal como lo conocemos hoy. Ahora bien, ¿es posible analizar la enseñanza que nos dejará esta pandemia a partir de lo que representó para el mundo de la seguridad el aprendizaje que nos dejó el brote de WannaCry?

WannaCry: el responsable del primer ciberataque de escala global

Un año después de WannaCry se hablaba de cómo este ransomware había cambiado el mundo al marcar un punto de inflexión dentro de lo que es la ciberseguridad, ya que estábamos frente al primer ataque cibernético de escala global. Sin embargo, tres años después podemos decir que, si bien han cambiado muchas cosas, aún queda mucho por hacer para mejorar la seguridad de nuestros entornos tecnológicos, ya que pese a la resonancia mediática que tuvo WannaCry, continúan existiendo equipos vulnerables a esta amenaza y este ransomware sigue afectando a organizaciones de sectores críticos, como las vinculadas con el sector de la salud.

Wanna Cry fue definido como el primer “ransomworm”, un tipo de ransomware con propiedades de gusano; es decir, de propagarse a si mismo. En su caso, aprovechando una vulnerabilidad conocida como EternalBlue que afectaba al servicio de archivos compartidos de Windows. Sin embargo, a diferencia del COVID-19, para la llegada de WannaCry ya existía la vacuna. Casi dos meses antes de la aparición de este nuevo Ransomware, Microsoft había publicado el parche de seguridad que corregía el conjunto de vulnerabilidades que se estaban aprovechando.

¿Cuál es la situación actual en Latinoamérica?

Tras realizar una búsqueda en Shodan comprobamos que, al día de hoy, aún quedan más de 36 mil equipos en Latinoamérica, de un total de casi 900 mil equipos en el mundo, que tienen expuesta a Internet una versión vulnerable del protocolo SMB.

Imagen 1: Equipos en Latinoamérica con el servicio SMB versión 1 publicados a Internet

Si cruzamos esta información con los datos de las detecciones de ESET, vemos que DoublePulsar (exploit utilizado conjuntamente con EternalBlue en el ataque de WannaCry) aún se encuentra presente en casi todos los países de la región, siendo México, Colombia, Brasil y Venezuela los países en los que se concentran la mayoría de las detecciones de este exploit.

En nuestra web, Virus Radar, se pueden ver las detecciones de DoublePulsar durante el último mes, donde se aprecia que aun aparece dentro del top 25 de las detecciones en la mayoría de los países y que representa el 1,7 % de las detecciones de la región.

Imagen 2: Distribución de las detecciones de DoublePulsar en Latam en el último año (12-05-2019 a 12-05-2020)

Por otro lado, si bien las detecciones de DoublePulsar han disminuido en comparación con los años anteriores, lo cierto es que apenas han disminuido a la mitad en los mejores casos y aún hay países como Chile y Costa Rica en los que se mantiene estable.

Imagen 3: Detecciones de DoublePulsar por país en los últimos 3 años

Sin embargo, no es solo DoublePulsar quien debe preocuparnos, ya que en los últimos dos años han aparecido numerosas vulnerabilidades que han sido aprovechadas por diversos códigos maliciosos para propagarse sin la intervención del usuario. Entre ellos podemos recordar a los ransomware notPetya o Bad Rabbit, así como otros tantos códigos maliciosos y criptomineros que aprovecharon EternalBlue. Incluso otras formas de infección de malware basadas en la ejecución del código malicioso enteramente en memoria, conocidas como Fileless Malware, también se ven potenciadas a partir de la explotación de vulnerabilidades.

El malware está evolucionando y algo definitivo es que esta forma de propagación e infección continúa hasta el día de hoy, siendo una de las modalidades de infección que muchos atacantes deciden utilizar.

¿Cuál es la situación actual frente a infecciones de malware que explotan vulnerabilidades?

Vulnerabilidad BlueKeep

A mitad del año pasado Microsoft advertía sobre la importancia de que los usuarios actualizaran sus sistemas operativos ante la aparición de una vulnerabilidad crítica, a la que se llamó BlueKeep (CVE-2019-0708), que en caso de ser explotada permitiría que una amenaza se propague hacia otras computadoras vulnerables de manera similar a la forma en que se propagó WannaCry.

Esta vulnerabilidad aprovecha una falla de seguridad en el servicio de Escritorio Remoto (RDP) de Windows, permitiendo a un atacante no autenticado conectarse al equipo remoto y ejecutar código con privilegios de administración. Pocos meses después de su hallazgo comenzaron a detectarse campañas que aprovechaban esta vulnerabilidad para distribuir mineros de criptomonedas e incluso se detectó una gran botnet  utilizada para realizar ataques de fuerza bruta a servidores de distintas partes del mundo.

Según un reporte de Shodan publicado en Junio del año pasado, en ese entonces había casi 165 mil equipos con el puerto 3389 correspondiente al protocolo RDP publicados a Internet, en su mayoría con sistemas operativos obsoletos como Windows XP o Windows 7. Lo preocupante es que la misma búsqueda para este año arroja más de 210 mil equipos con el servicio de escritorio remoto publicados a Internet. Es probable que este aumento de casi el 30% se deba al impacto del asilamiento a causa del COVID19 y el incremento del trabajo remoto. Lo interesante de este incremento es que ahora gran cantidad de estos equipos utilizan Windows 2003 (más de 23 mil), un sistema operativo que ya no cuenta con actualización ni soporte por parte de Microsoft, mientras que gran cantidad de equipos corren Windows Server 2008, para el cual sí hay parche disponible, aunque no podemos afirmar que estén todos actualizados.

Lectura relacionada: Por qué desconectar RDP de Internet para evitar ser víctima de un ataque

Imagen 4: Equipos con Escritorio Remoto publicado en Internet en LATAM

Vulnerabilidad SMB Ghost

En marzo de este año se reportó el hallazgo de nueva vulnerabilidad crítica en Windows 10 que afectaba el protocolo SBM 3.1.1, una versión actualizada del protocolo que explotaba WannaCry para propagarse. Esta vulnerabilidad, a la cual se llamó SMB Ghost, permitiría a un atacante ejecutar código en un equipo vulnerable de manera similar a WannaCry.

Hace apenas 20 días investigadores de Ricerca Security hicieron publica una prueba de concepto que demuestran la posibilidad de aprovechar esta vulnerabilidad presente en algunas versiones de Windows 10 y Windows Server para ejecutar código remoto. Lo bueno es que Microsoft ya había publicado el parche que repara dicha vulnerabilidad unos días antes. Sin embargo, una situación similar ocurrió en 2017, ya que dos meses antes de la aparición de Wanna Cryptor, Microsoft ya había publicado el parche de seguridad para las vulnerabilidades descubiertas a partir de EternalBlue. Es decir, que si hay una lección que ya debíamos haber aprendido hace tres años atrás es la importancia de instalar las actualizaciones y parches de seguridad tan pronto como estén publicados.

Conclusión

Un año después de la aparición de WannaCry compartíamos las lecciones que nos dejó aquella infección masiva de ransomware y poníamos el foco en la importancia de mantener los equipos actualizados y aislar aquellos que no podían ser parcheados para evitar que algo así vuelva a ocurrir. En 2019, las detecciones de EternalBlue alcanzaban un pico histórico, mientras una gran cantidad de equipos continuaban expuestos a Internet.

Este año es aún más crítico, ya que debido a la situación mundial por el COVID-19 muchas empresas se han visto forzadas a implementar el teletrabajo sin estar lo suficientemente preparadas desde el punto de vista de la seguridad. Sumado a eso, diferentes entidades han alertado sobre el incremento de los intentos de ataques dirigidos a hospitales e instituciones de salud, lo cual representa una preocupación aún mayor en el contexto actual. En América Latina, según datos del ESET Security Report, durante el año pasado el 50% de las instituciones de salud de la región han sufrido accesos indebidos a sus sistemas de información y el 22% se han sufrido incidentes de seguridad provocados por la infección con códigos maliciosos.

En una entrevista reciente realizada a la historiadora Nancy Tomes, considerada en Estados Unidos como una de las personas más conocedoras de lo que fue el impacto de la pandemia conocida como la gripe española (1918-1919), la experta manifestó: “creo que vivíamos bajo la falsa sensación de seguridad de que no podía llegar a ocurrir algo tan malo como fue la pandemia de 1918”. Si bien la gripe española es considerada la pandemia más devastadora de la historia, el mundo se encuentra actualmente luchando contra otra pandemia e intentando analizar qué podemos aprender de otros acontecimientos similares en el pasado para atravesarla de la mejor manera. Por eso, este 12 de mayo es un buen momento para analizar lo que ocurrió hace tres años con el brote de WannaCry y tomar las medidas de protección adecuadas para proteger los sistemas informáticos de cara al futuro.