Sophos sigue la evolución de WannaCry
Sophos ha publicado WannaCry Aftershock, un informe sobre lo sucedido con el malware WannaCry, luego del ataque mundial que comenzó el 12 de mayo de 2017. La investigación realizada por SophosLabs demuestra que la amenaza WannaCry sigue a un ritmo desenfrenado, con millones de intentos de infección detenidos cada mes y, que si bien el malware original no se ha actualizado, existen miles de variantes de corta duración.
La existencia continua de la amenaza WannaCry se debe en gran medida a la capacidad de estas nuevas variantes para evitar el ‘kill switch’ (interruptor de seguridad). Sin embargo, cuando los investigadores de Sophos analizaron y ejecutaron una serie de variantes, descubrieron que su capacidad para cifrar datos se neutralizaba como resultado del código dañado.
Debido a la forma en que WannaCry infecta a las nuevas víctimas, verificando si la computadora ya está infectada y, si es así pasando a otro objetivo, la infección por una versión inerte del malware protege efectivamente el dispositivo contra la cepa activa. En resumen, las nuevas variantes del malware actúan como una vacuna accidental, ofreciendo a las computadoras aún no parcheadas y vulnerables una especie de inmunidad contra el ataque posterior del mismo malware.
Sin embargo, el hecho mismo de que estas computadoras ya pudieran estar infectadas sugiere que el parche contra el exploit principal utilizado en los ataques WannaCry no se ha instalado -un parche que se lanzó hace más de dos años.
El malware WannaCry original se detectó solo 40 veces y desde entonces los investigadores de SophosLabs han identificado 12.480 variantes del código original. Una inspección más minuciosa de más de 2,700 muestras (que representan el 98 por ciento de las detecciones) reveló que todas habían evolucionado para omitir el ‘kill switch’ – una URL específica que, si el malware se conecta a ella, finaliza automáticamente el proceso de infección – y todas habían evolucionado a un componente de ransomware dañado no pudiendo cifrar los datos.
En agosto de 2019, la telemetría de Sophos detectó 4,3 millones de instancias de WannaCry. El número de las diferentes variantes observadas fue de 6,963. De estos, 5,555 u el 80 por ciento eran archivos nuevos.
Los investigadores de Sophos también han rastreado la primera aparición de la variante dañada más extendida de la actualidad yendo hacia atrás hasta solo dos días después del ataque original: 14 de mayo de 2017, cuando se cargó en VirusTotal, pero aún no se había visto en el campo de acción.
Peter Mackenzie, especialista en seguridad de Sophos y autor principal de la investigación afirma: ‘El brote de WannaCry de 2017 cambió el panorama de amenazas para siempre. Nuestra investigación destaca cuántas computadoras sin parches aún existen, y si no ha instalado actualizaciones que se lanzaron hace más de dos años, ¿Cuántos otros parches se han perdido? En este caso, algunas víctimas han tenido suerte porque las variantes del malware las inmunizaron contra las versiones más recientes. Pero ninguna organización debería confiar en esto. En cambio, la práctica estándar debería ser una política de instalación de parches cada vez que se emiten y una solución de seguridad sólida que cubra todos los puntos finales, redes y sistemas’.
Cómo protegerse contra el malware WannaCry y el ransomware en general
· Compruebe tener un inventario completo de todos los dispositivos conectados a su red y que todos estén actualizados en términos de su software de seguridad.
· Instale siempre los últimos parches tan pronto como se publiquen en todos los dispositivos de su red.
· Mantenga las copias de seguridad de sus datos más importantes y actuales en un dispositivo de almacenamiento fuera de línea, es la mejor manera de evitar tener que pagar un rescate si se ve afectado por el ransomware.
· No hay una solución especial para la seguridad, y un modelo de seguridad en capas es la mejor práctica que todas las empresas necesitan implementar.
· Por ejemplo, Sophos Intercept X emplea un enfoque integral de defensa en profundidad para la protección de puntos finales, que combina múltiples técnicas de última generación para ofrecer detección de malware, protección contra exploits y detección y respuesta de punto final (EDR) integradas.