Un año después (el popular incidente tuvo lugar el 12 de mayo de 2017), estamos lejos de decir que sus efectos han sido disipados. El ransomware popularmente conocido como Wannacry, pero denominado WannaCryptor o WCrypt por los investigadores de seguridad, tuvo un efecto enorme hace un año. No exactamente causando graves daños a las empresas que lo sufrieron, pero sí se le considera uno de los incidentes más mediáticos que se han conocido. 

La firma de seguridad ESET confirma ahora que el exploit que activó esta amenaza, EternalBlue, aún está amenazando una gran cantidad de sistemas. Y lo que es peor aún: sin parche para ellos.

Según los datos de sus investigaciones, la popularidad de este exploit ha aumentado durante los últimos meses, detectándose picos de actividad que superaban a los registrados a lo largo de 2017.

Después del ciberataque en mayo de 2017, este exploit experimentó un periodo de calma, con unos cientos de detecciones diarias. Pero desde septiembre del pasado año hasta hoy, ha ido creciendo de forma paulatina, hasta alcanzar picos máximos en abril de 2018, según explican desde ESET.

Los investigadores apuntan como posible causa de este repunte a la campaña de un ransomware denominado “Satan” que ha sido detectado precisamente en este periodo.

Telemetría de EternalBlue
Telemetría de EternalBlue (Fuente: ESET)

Qué es EternalBlue

Básicamente, un exploit es un programa que se aprovecha de una vulnerabilidad (fallo o agujero de seguridad) en un sistema, por lo que un ciberdelincuente podría usarlo para atacarlo.

Este exploit se aprovecha de una vulnerabilidad que fue descrita en el boletín de seguridad de Microsoft (MS17-010).

Estaba causada por un fallo por parte de la compañía de Seattle en la implementación de un protocolo (Server Message Block – SMB), que se propagaba a través del puerto 445. Los ciberdelincuentes buscaban puertos abiertos y expuestos para ejecutar ese exploit. Así es como consiguieron que Wannacry se expandiera rápidamente por las redes corporativas.

Se ha rumoreado que EternalBlue es un exploit que ciberdelincuentes robaron a la NSA (la Agencia Nacional de Seguridad estadounidense), y filtrado por el grupo de cibercriminales Shadow Brokers un mes antes del ciberataque masivo, en abril de 2017.

Desde la firma de seguridad recalcan la importancia de contar con parches de seguridad y “aplicarlos lo antes posible”.

Deja un comentario