Sophos sigue la evolución de WannaCry: De depredador a vacuna



Alerta a medios

Sophos sigue la evolución de WannaCry: De depredador a vacuna

  •    4.3 millones de intentos de infección se detuvieron solo en agosto de 2019.
  •  Más de 12 mil variantes únicas observadas por Sophos a fines de 2018 y más de 6 mil en agosto de 2019 (80 por ciento de ellas nuevas)
  •  Del análisis de alrededor de 2mil muestras de WannaCry de 2018 se concluye que fueron adaptadas para omitir el famoso "kill switch", pero son incawapaces de cifrar datos.



OXFORD, Reino Unido - 19 de septiembre de 2019 - Sophos (LSE: SOPH), líder mundial en seguridad de redes y endpoints, ha publicado WannaCry Aftershock, un informe sobre lo sucedido con el malware WannaCry, luego del ataque mundial que comenzó el 12 de mayo de 2017. La investigación realizada por SophosLabs demuestra que la amenaza WannaCry sigue a un ritmo desenfrenado, con millones de intentos de infección detenidos cada mes y, que si bien el malware original no se ha actualizado, existen miles de variantes de corta duración.

La existencia continua de la amenaza WannaCry se debe en gran medida a la capacidad de estas nuevas variantes para evitar el ' kill switch' (interruptor de seguridad). Sin embargo, cuando los investigadores de Sophos analizaron y ejecutaron una serie de variantes, descubrieron que su capacidad para cifrar datos se neutralizaba como resultado del código dañado.

Debido a la forma en que WannaCry infecta a las nuevas víctimas, verificando si la computadora ya está infectada y, si es así pasando a otro objetivo, la infección por una versión inerte del malware protege efectivamente el dispositivo contra la cepa activa. En resumen, las nuevas variantes del malware actúan como una vacuna accidental, ofreciendo a las computadoras aún no parcheadas y vulnerables una especie de inmunidad contra el ataque posterior del mismo malware.

Sin embargo, el hecho mismo de que estas computadoras ya pudieran estar infectadas sugiere que el parche contra el exploit principal utilizado en los ataques WannaCry no se ha instalado -un parche que se lanzó hace más de dos años.

El malware WannaCry original se detectó solo 40 veces y desde entonces los investigadores de SophosLabs han identificado 12.480 variantes del código original. Una inspección más minuciosa de más de 2,700 muestras (que representan el 98 por ciento de las detecciones) reveló que todas habían evolucionado para omitir el 'kill switch' - una URL específica que, si el malware se conecta a ella, finaliza automáticamente el proceso de infección - y todas habían evolucionado a un componente de ransomware dañado no pudiendo cifrar los datos.

En agosto de 2019, la telemetría de Sophos detectó 4,3 millones de instancias de WannaCry. El número de las diferentes variantes observadas fue de 6,963. De estos, 5,555 u el 80 por ciento eran archivos nuevos.

Los investigadores de Sophos también han rastreado la primera aparición de la variante dañada más extendida de la actualidad yendo hacia atrás hasta solo dos días después del ataque original: 14 de mayo de 2017, cuando se cargó en VirusTotal, pero aún no se había visto en el campo de acción.
“El brote de WannaCry de 2017 cambió el panorama de amenazas para siempre. Nuestra investigación destaca cuántas computadoras sin parches aún existen, y si no ha instalado actualizaciones que se lanzaron hace más de dos años, ¿Cuántos otros parches se han perdido? En este caso, algunas víctimas han tenido suerte porque las variantes del malware las inmunizaron contra las versiones más recientes. Pero ninguna organización debería confiar en esto. En cambio, la práctica estándar debería ser una política de instalación de parches cada vez que se emiten y una solución de seguridad sólida que cubra todos los puntos finales, redes y sistemas ", sostiene Peter Mackenzie, especialista en seguridad de Sophos y autor principal de la investigación.


Cómo protegerse contra el malware WannaCry y el ransomware en general
·         Compruebe tener un inventario completo de todos los dispositivos conectados a su red y que todos estén actualizados en términos de su software de seguridad.

·         Instale siempre los últimos parches tan pronto como se publiquen en todos los dispositivos de su red.

·         Verifique si sus computadoras están parcheadas contra el exploit EternalBlue utilizado en WannaCry siguiendo estas instrucciones: Cómo verificar si una máquina es vulnerable a EternalBlue - MS17-010
·         Mantenga las copias de seguridad de sus datos más importantes y actuales en un dispositivo de almacenamiento fuera de línea,  es la mejor manera de evitar tener que pagar un rescate si se ve afectado por el ransomware.

·         No hay una solución especial para la seguridad, y un modelo de seguridad en capas es la mejor práctica que todas las empresas necesitan implementar.
·         Por ejemplo, Sophos Intercept X emplea un enfoque integral de defensa en profundidad para la protección de puntos finales, que combina múltiples técnicas de última generación para ofrecer detección de malware, protección contra exploits y detección y respuesta de punto final (EDR) integradas.

###


Acerca de Sophos
Como líder mundial en ciberseguridad de próxima generación, Sophos protege a casi 400 mil organizaciones de todos los tamaños en más de 150 países de las amenazas cibernéticas más avanzadas de la actualidad. Desarrollado por SophosLabs, un equipo global de inteligencia de amenazas y ciencia de datos, las soluciones nativas de la nube y mejoradas por IA de Sophos aseguran puntos finales (computadoras portátiles, servidores y dispositivos móviles) y redes contra tácticas y técnicas cibercriminales en evolución, incluidas las infracciones de adversarios activos y automáticos, ransomware, malware, exploits, exfiltración de datos, phishing y más. La galardonada plataforma basada en la nube de Sophos Central integra toda la cartera de productos de Sophos, desde la solución de punto final Intercept X hasta el Firewall XG, en un único sistema llamado Seguridad Sincronizada. Los productos de Sophos están disponibles exclusivamente a través de un canal global de más de 47 mil socios y proveedores de servicios gestionados (MSP). Sophos también pone a disposición de los consumidores sus innovadoras tecnologías comerciales a través de Sophos Home. La compañía tiene su sede en Oxford, Reino Unido, y cotiza en la Bolsa de Londres bajo el símbolo "SOPH". Más información disponible en www.sophos.comv

No hay comentarios.

Imágenes del tema de enot-poloskun. Con tecnología de Blogger.