El ransomware WannaCryptor bloqueado por el módulo de Protección contra ataques de red de ESET

Por Ondrej Kubovič, Security Awareness Specialist de ESET

ESET mantuvo protegidos a sus clientes corporativos de uno de los mayores brotes de malware de los últimos años – la epidemia de ransomware WannaCryptor de mayo de 2017. El ransomware golpeó a miles de organizaciones alrededor del mundo y causó daños que, se estima, van desde cientos de millones a billones de dólares. Gracias a nuestra tecnología de protección contra ataques de red, los endpoints protegidos por ESET no se vieron afectados.

El 12 de mayo de 2017 tuvo lugar uno de los ataques cibernéticos más disruptivos en la historia de la seguridad informática. En pocos minutos, miles de organizaciones en más de 150 países fueron víctimas de unos 200.000 endpoints cifrados e inaccesibles, gracias al ransomware conocido como WannaCryptor, también llamado WannaCry o WCrypt. Los procesos de negocios se frenaron en varios sectores, causando un estimado de daños de entre cientos de millones y billones de dólares.

Los atacantes detrás del incidente se aprovecharon de un sofisticado exploit llamado EternalBlue, que aparentemente fue robado y filtrado desde la Agencia Nacional de Seguridad de Estados Unidos (NSA, por sus siglas en inglés), y publicado por un grupo conocido como Shadow Brokers.

El exploit utilizó una vulnerabilidad específica (CVE-2017-0144) en la implementación del protocolo SMB de Microsoft, a través del puerto 445. Analizar Internet en busca de puertos SMB permitió que el gusano del ransomware ejecutara su código en sistemas expuestos vulnerables, y que se expanda aún más, tanto dentro de la red local de la víctima como a través de Internet.

La mayoría de los sistemas afectados estaban ejecutando una versión de Windows 7 sin emparchar. Sin embargo, incluso aquellos sistemas que no hubieran implementado los parches – lanzados por Microsoft el 14 de marzo, dos meses previos al ataque – podrían haber sido protegidos por una solución de seguridad en múltiples capas de calidad. 

Según una detección de red añadida el 25 de abril de 2017, la capa de protección de la red de ESET fue capaz de bloquear los ataques que utilizaban exploits EternalBlue para ingresar a los sistemas. Esto incluye a la familia de ransomware WannaCryptor, así como cualquier otro payload malicioso que quisiera utilizar el mismo método de distribución.

La tecnología de protección contra ataques de red de ESET permitió que nuestros clientes continuaran con sus negocios como cada día, sin ninguna disrupción. En contraste, las organizaciones afectadas alrededor del mundo siguieron reportando grandes fallas en sus sistemas internos hasta varios días posteriores al brote inicial.

El sustancial número de dispositivos infiltrados en el caso de WannaCryptor demostró el rol crucial que cumple una política de parches dentro de la seguridad de una organización. Sin embargo, este puede ser un proceso costoso, laborioso y que consume tiempo. Al instalar las soluciones de seguridad en múltiples capas de ESET, las organizaciones mejoran su protección hasta que las actualizaciones cruciales sean probadas cuidadosamente, e implementadas posteriormente. La tecnología de protección también puede servir para proteger los endpoints que no pueden ser emparchados, simplemente remplazándose, de la misma manera que aquellos sistemas ocasionales en enormes redes que se saltean, inevitablemente, una vez que se prueban e implementan los parches en toda la red de la compañía.