Sophos ha publicado el informe WannaCry Aftershock, un documento sobre lo que ha ocurrido con el famoso malware WannaCry, tras el ataque mundial que comenzó el 12 de mayo de 2017. La investigación de SophosLabs muestra que la amenaza de WannaCry sigue activa, con millones de intentos de infección al mes detectados, y que pese a no haber actualización del malware original sí que existen muchos miles de variantes de corta duración actuando libremente.
La supervivencia de la amenaza de WannaCry se debe en gran medida a la capacidad de estas nuevas variantes para evitar el ‘kill switch’ (sistema de seguridad de emergencia). Sin embargo, tras analizar diversas muestras se descubrió que se neutralizaba su capacidad para cifrar datos como resultado de la corrupción del código.
Debido a la forma en la que WannaCry afecta a las nuevas víctimas (comprobando si un ordenador ya está infectado y, en caso afirmativo, pasando a otro objetivo), hace que esa infección mediante la versión inerte del malware proteja de forma efectiva el dispositivo de ser infectado con la cepa activa. En resumen, las nuevas variantes del malware actúan por error como una vacuna, ofreciendo a los ordenadores aún no parcheados y vulnerables una especie de inmunidad contra el ataque posterior de ese mismo malware.
Sin embargo, el hecho mismo de que estos ordenadores pudieran estar infectados en primera instancia indica que no se les había instalado el parche contra la principal vulnerabilidad utilizada en los ataques de WannaCry, un parche que se lanzó hace ya más de dos años.
Aún existen miles de variantes de WannaCry de corta duración: 12.480 variantes únicas observadas por Sophos a fines de 2018 y 6.963 en agosto de 2019 (80% de ellas nuevas)
El malware original de WannaCry se detectó tan solo en 40 ocasiones y desde entonces los investigadores de SophosLabs han identificado hasta 12.480 variantes del código original. Una inspección más minuciosa de más de 2.700 muestras, que representan el 98% de las detecciones, reveló que todas habían evolucionado para omitir el ‘kill switch’ (una URL específica que, si el malware se conecta a ella, finaliza automáticamente el proceso de infección), que todas contaban con un componente de ransomware corrupto y que no fueron capaces de cifrar los datos. En agosto de 2019, la telemetría de Sophos detectó 4.3 millones de casos de WannaCry. El número de variantes observadas fue de 6.963. De estas, 5.555 ó un 80% eran archivos nuevos.
Protección antiransomware
• Comprobar que se tiene un inventario completo de todos los dispositivos conectados a la red y que todos están actualizados en los términos de su software de seguridad.
• Instalar siempre en todos los dispositivos de la red los últimos parches tan pronto como se publiquen.
• Verificar si los ordenadores están parcheados contra el exploit EternalBlue utilizado en WannaCry siguiendo estas instrucciones: Cómo verificar si una máquina es vulnerable a EternalBlue – MS17-010.
• Mantener copias de seguridad periódicas de los datos más importantes y actuales en un dispositivo de almacenamiento offline como mejor práctica para evitar tener que pagar un rescate en caso de verse afectado por el ransomware.
• No existe una panacea para la seguridad, y un modelo de seguridad en capas es la mejor práctica que todas las empresas deberían implementar.
