HayCanal.com

Stormshield alerta de la posible aparición de nuevas variantes del ransomware WannaCry

Stormshield alerta de la posible aparición de nuevas variantes del ransomware WannaCry

Stormshield, jugador clave en el mercado de la ciberseguridad, advierte de que el último ataque de Ransomware, conocido como WannaCry, continúa propagándose bajo distintas variantes y explica cómo prevenir su ataque.

Hasta hoy, WannaCry, considerado un ataque estratégico por el perfil de las compañías afectadas, ha alcanzado a más de 200.000 equipos en cerca de 180 países, comprometiendo datos críticos de empresas de todos los sectores, desde sanidad a banca, pasando por utilities. España no ha quedado a la zaga, infectando 1.200 equipos, según las últimas informaciones.

Se trata de una infección sin precedentes, y cuya propagación ha causado enormes daños, principalmente, porque este ransomware no ha necesitado la intervención humana, es decir, no ha necesitado que se abriera un fichero para infectar un equipo.

Un ataque que pudo evitarse

Efectivamente, WannaCry se aprovecha de una vulnerabilidad en el soporte de SMBv1 en Windows y que puede explotarse remotamente a través de la herramienta “EternalBlue”. Una vez que ha infectado un equipo, se propaga a servidores SMB vecinos. Lo paradójico es que esta vulnerabilidad se hizo pública el pasado 14 de abril, cuando el grupo Shadow Brokers dio a conocer datos extraídos de la Agencia Nacional de Seguridad (NSA) de EE.UU y que, aun habiendo un parche, muchas organizaciones todavía no lo han aplicado.

Stormshield_Borja PérezSegún Borja Pérez, Director General de Stormshield Iberia, “las razones de esta inactividad a la hora de aplicar el parche pueden  darse, bien porque empresas pueden no disponer de protocolos de seguridad adecuados, o bien porque cada parche de un sistema operativo -  en este caso Windows - supone una serie de cambios que pueden afectar a aplicaciones críticas para el negocio. Si hay miles de equipos, los responsables deben ser cuidadosos a la hora de actualizar los sistemas, ya que no se debe hacer automáticamente, contrariamente a como lo hace un usuario doméstico”.

Así, Las infraestructuras críticas de grandes empresas o de servicios públicos – tales como sanidad – deben comprobar que estas actualizaciones no impactarán en otras aplicaciones antes de implementarlas.  En cualquier caso, para este tipo de organizaciones es fundamental contar con herramientas capaces de reaccionar frente a vulnerabilidades, independientemente de que el sistema operativo esté parcheado o soportado.

Stormshield Endpoint Security, una solución efectiva

Tan pronto se tuvo conocimiento del ataque, Stormshield, con muestras del malware probó en sus laboratorios cómo su solución Stormshield Endpoint Security (SES), pudo frenar dicho ataque mediante dos técnicas: el bloqueo de exploits de vulnerabilidades, conocidas o no, y la posibilidad de crear listas blancas de extensiones para que sólo aplicaciones y programas legítimos se puedan ejecutar.

SES puede utilizar su firewall interno para bloquear el puerto 445. Mediante el filtrado de extensiones previene que aplicaciones con extensiones ilegítimas, como las usadas por WannaCry (.WNCRYPT, .WNRY, .WCRY, .WNCRY, .WNCRYT) puedan ejecutarse. Otra de las funcionalidades de SES es el bloqueo de creación de ejecutables. Mediante estas técnicas, los clientes de Stormshield Endpoint Security han podido defenderse de WannaCry sin ver ninguno de sus equipos afectado.

En ocasiones anteriores, Stormshield Endpoint Security, ya demostró su efectividad contra todo tipo de ransomware y ataques día cero, siendo capaz de bloquear también WannaCry, que logra saltarse la protección de los antivirus tradicionales. De este modo, la solución es capaz de salvaguardar de forma efectiva el puesto de trabajo frente a estas nuevas variantes y de hacer frente a nuevas amenazas desconocidas capaces de saltarse la protección de puesto tradicional.

La pesadilla continua: cómo protegerse de las variantes

En estos momentos, la última versión del ransomware Wannacry incorpora dos “kill-switch”. Si la copia de WannaCry puede alcanzar uno de estos dominios específicos, frena su actividad.

No se descartamos la aparición de nuevas variantes, por lo que es más que recomendable tomar una serie de medidas y proteger, en primer lugar, puestos de trabajo, la principal vía de entrada de estas infecciones”, afirma Borja Pérez. De hecho, según Gartner, cerca del 80% de los ataques que se produjeron con éxito durante 2016 fueron a través de esta vía. Así, Stormshield, recomienda deshabilitar el soporte de SMBv1 desde Microsoft y aplicar el parche para este ransomware.

También es recomendable la protección en los servidores, deshabilitando SMB hasta que esté parcheado y Asegurarse de que los servidores están aislados y Prohibir el tráfico entrante de internet por el Puerto 445. Además, deben asegurarse que se pueden alcanzar los dos “kill-switch” desde cualquier red interna.

Tras estos pasos, debe realizarse un análisis forense y comprobar en los logs de los firewalls si se ha intentado accede a alguno de los kill-switch. Significaría que algunos puestos se han visto afectados, por lo que deben apagarse inmediatamente.

Por último, si una empresa ha sido infectada, no debe pagarse el rescate, deber tenerse muy en cuenta que el atacante no puede descifrar los ficheros.


También te puede gustar: