L0s son ya organizaciones entrenadas con acceso a herramientas y técnicas muy sofisticadas y fácilmente accesibles. Los ciberataques se han profesionalizado y su rentabilidad económica ha quedado demostrada en innumerables ocasiones, convirtiéndose en una industria billonaria en los últimos años.

Lucro económico y poner en jaque los datos confidenciales de las corporaciones globales son los objetivos de estas amenazas. WannaCry ha sido el último ransomware con repercusión gobal.

¿Cuál es el origen de WannaCry?

A primera hora del viernes 12 de Mayo, las soluciones de protección avanzada de Panda Security, Panda Adaptive Defense y panda Adaptive Defense 360,  empezaron a detectar y bloquear con éxito un gran número de ataques que se aprovechaban de la vulnerabilidad EternalBlue y del ransomware WannaCry en todo el mundo.

El ataque, un malware del tipo ramsonware afecta a ciertos sistemas Microsoft Windows vulnerables, cifrando todos sus archivos y los de las unidades de red a las que estén contectadas, e infectando al resto de sistemas Windows vulnerables que haya en esa misma red.. El proceso finaliza con la petición de un rescate para su desencriptación. En concreto, el pago de 300 $ por cada equipo liberado mediante el pago de esa suma a través de BitCoin.

¿Qué  hace diferente a WannaCry de otros ataques vistos hasta el momento?

La especial virulencia de esta campaña viene provocada por la explotación de la vulnerabilidad, es decir, su forma de entrada en el equipo no es tanto un correo o una descarga de internet, que requieren intervención humana.

Esto ha provocado que:

  • El ataque se produjera prácticamente simultáneamente en todo el planeta y sin intervención de los usuarios de los equipos. Es por lo tanto un ataque masivo sin barreras humanas.
  • La infección afectara a todos los dispositivos Windows conectados en esa misma red que no estuvieran debidamente actualizados. La infección de un solo equipo puede llegar a comprometer a toda la red corporativa.

Las protecciones tradicionales orientadas a parar el fichero malicioso no son capaces de bloquear ataques que se aprovechan de esta u otras vulnerabilidades para entrar en el equipo y en la red.  La consecuencia ha sido que en el ciberataque se haya extendido ya a 150 países y haya afectado a 200.000 usuarios (principalmente empresas e instituciones públicas).

Consulta la anatomía de #WannaCry en la infografía.

¿Cómo puedo protegerme?

En este contexto, la solución tiene que venir de un enfoque estructuralmente diferente al de los productos de seguridad tradicionales. Si el malware se aprovecha de que el antivirus no lo conoce previamente para poder ejecutarse, será necesario un modelo que se centre precisamente en controlar lo que es desconocido.

En los últimos casos investigados por PandaLabs hemos visto nuevas variantes de ataques, como aquellos que no utilizan malware como tal, sino que se basan en scripts y el uso de herramientas del propio sistema operativo para evitar ser detectado. Un ejemplo de la confianza y profesionalización adquirida por los cibercriminales en los últimos meses.

WannaSaveU, el contraataque en ciberseguridad

Instituciones como el Centro Criptológico Nacional español confían en el nuevo modelo de protección, monitorización y visibilidad ofrecida por la solución de Panda Security para realizar su informe oficial sobre el código dañino WannaCry.

Es muy posible que surjan nuevos ataques con variantes que se aprovechen de la vulnerabilidad que explotan en EternalBlue, pero utilizando otras aplicaciones maliciosas. Por este motivo desde Panda Security,  aconsejamos encarecidamente:

  • Disponer de herramientas de protección adecuadas tales como antivirus/antimalware de nueva generación contra ataques avanzados y cortafuegos.
  • No abrir ficheros, adjuntos o enlaces de correos electrónicos no confiables, ni contestar a este tipo de correos.
  • Precaución al seguir enlaces en correos, mensajería instantánea y redes sociales, aunque sean de contactos conocidos.
  • Realizar copias de seguridad periódicas de nuestra información, principalmente la más sensible o importante de nuestros dispositivos.

Y para hacer frente a posibles réplicas del ataque, tanto por parte de nuevos atacantes que traten de explotar vulnerabilidad como desde dispositivos ya afectados que pueden ser víctimas de cualquier variante, aconsejamos seguir los siguientes pasos:

  • Todos los clientes tienen que actualizarse con el parche de Microsoft para esta vulnerabilidad SMB. Esta vulnerabilidad es una puerta abierta a los hackers.
  • Debemos de estar atentos. En Panda Security observamos e investigamos lo que vemos en los dispositivos de nuestros clientes, para anticipar cualquier tipo de mutación del gusano o cualquier otra variante que podría haber sido ya entregada en la red, debido a la falta de parches vulnerables.

Gracias a la visibilidad que Adaptive Defense nos da y las capacidades de prevención, detección y de entrega de las medidas necesarias para responder inmediatamente, nuestros clientes se han encontrado protegidos desde los primeros minutos de la explosión del ataque.

La protección avanzada de Adaptive Defense, a través del nuevo modelo de protección de monitorización y clasificación continua, ha demostrado, una vez más en este ataque, ser la única arma contra esta realidad.

Panda Security ha elaborado un informe técnico a raíz de la investigación sobre WannaCry con todos los detalles del ciberataque. #WannaSaveU