Desde la aparición el pasado 12 de mayo de WannaCry, un gusano de red que utiliza el ataque de EternalBlue para propagarse y que además ejecuta ransomware en las máquina atacadas, no han parado de surgir preguntas sobre el ciberataque.
Como empresa de ciberseguridad española líder del sector, en Panda Security nos hemos convertido en una fuente de información para otras empresas de seguridad a nivel internacional, dando respuestas a las principales inquietudes generadas a raíz de WannaCry y que ahora queremos compartir con vosotros:
¿Llega por email?
La mayoría de medios de comunicación informaron de que el ataque inicial se produjo a través de mensajes de spam enviados por correo electrónico. Ejemplos como el publicado por el Financial Times han ayudado a divulgar este falso mito, dando incluso detalles como que el malware venía dentro de un fichero zip.
Nada más lejos de la realidad, ya que todos los ataques visualizados desde el primer día se han llevado a cabo a través del exploit EternalBlue.
¿Ha sido un ataque tan masivo como nos han contado en los medios?
Ha sido una ofensiva masiva a nivel global, pero si echamos la mirada atrás y lo comparamos con ataques como los del SQLSlammer o el Blaster, el WannaCry no alcanza esa magnitud. También son otros tiempos, la mayoría de usuarios domésticos tienen activadas las actualizaciones automáticas de Windows, lo que significa que llevan dos meses protegidos.
Sin embargo, si evaluamos el impacto del ataque no sólo por su propagación, sino por el daño que causa la misma secuestrando ficheros allá por donde pasa, es uno de los ataques más graves de la historia.
Las últimas cifras publicadas hablan de 300.000 víctimas, pero probablemente sean más. Hay una gran cantidad de ordenadores dentro de redes corporativas que han sido infectados pero que no han sido contabilizados, al carecer de conexión con el exterior. Probablemente podremos multiplicar la cifra por 10 –siendo conservadores.
¿Por qué la activación del kill-switch no ha funcionado?
Una de las características de WannaCry es que hace un chequeo de una determinada URL, y si está activa, deja de propagarse. El fin de semana un investigador de una empresa de seguridad registró el dominio utilizado por WannaCry, pero esto no ha parado al gusano. Hay varias explicaciones para esto: desde empresas cuyos ordenadores se conectan a Internet a través de un proxy, por lo que WannaCry nunca llega a alcanzar esa URL y sigue causando estragos dentro de la red local, hasta aquellos que se han desconectado de Internet para tratar de controlar la situación. Y no solo ésto, hay variaciones que tienen un dominio diferente, por lo que el kill-switch solo afecta a una parte de las infecciones.
¿Cuántas variantes de WannaCry hay?
Todo depende de qué definamos como una variante. Desde el comienzo hemos visto diferentes modificaciones, sin embargo todas ellas comparten la misma funcionalidad. Se han detectado hasta 700 variantes diferentes, con pequeños cambios para tratar de evitar detecciones por firma, hasta cambios en el dominio del kill-switch.
¿Pueden los simples antivirus limpiar la infección?
Todo depende y, a menos que la solución de seguridad que el usuario tiene instalada sea capaz de proteger el ordenador del exploit EternalBlue, el ordenador estará recibiendo ataques de forma continua y se verá comprometido en cuanto no detecte una nueva variante o un nuevo malware que utilice el mismo vector de ataque.
Recomendaciones
A pesar de que no todas las empresas se han infectado, WannaCry no sólo afectó a las compañías atacadas, ya que todas aquellas que no tenían instalado el parche en todos sus equipos han tenido que trabajar a contrarreloj hasta tener todos los ordenadores protegidos.
En este contexto, la solución tiene que venir de un enfoque estructuralmente diferente al de los productos de seguridad tradicionales, como el que ofrece Adaptive Defense de Panda Security. Además de tener siempre en mente estas recomendaciones:
- Disponer de herramientas de protección adecuadas tales como antivirus/antimalware de nueva generación contra ataques avanzados y cortafuegos.
- ¡Actualizar tu equipo! Hay que recordar que si los equipos hubieran estado actualizados no hubieran podido ser atacados. Esto es de vital importancia para aumentar la seguridad del sistema, mejorar el rendimiento o eliminar errores de ejecución, entre otros. También hay que tener en cuenta que aquellas empresas que necesiten tener ordenadores con sistemas operativos obsoletos (por ejemplo Windows XP) deben tenerlos convenientemente fortificados y lo más aislados posible.
- No abrir ficheros, adjuntos o enlaces de correos electrónicos no confiables, ni contestar a este tipo de correos.
- Precaución al seguir enlaces en correos, mensajería instantánea y redes sociales, aunque sean de contactos conocidos.
- Realizar copias de seguridad periódicas de nuestra información, principalmente la más sensible o importante de nuestros dispositivos.
Si quieres ampliar esta información, puedes ver una grabación del webinar dirigido por Luis Corrons, director técnico de PandaLabs, aquí:
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
