Un año atrás el ransomware WannaCryptor.D (también conocido como WannaCry o WCrypt) provocaba uno de los ciberataques más grandes conocidos al momento. Si bien la amenaza en sí no está causando mayores daños a lo largo del mundo, el exploit que fue utilizado durante el ataque, conocido como EternalBlue, aún está amenazando sistemas desprotegidos y sin parche. Los datos telemétricos de ESET, compañía líder en detección proactiva de amenazas, muestran que su popularidad creció durante los últimos meses e incluso se detectaron picos de actividad que superaron a los registrados en 2017.
La vulnerabilidad EternalBlue está asociada con sistemas operativos de Microsoft en la implementación del protocolo del Server Message Block (SMB), a través del puerto cuatrocientos cuarenta y cinco. Por lo tanto, si una empresa no tiene correctamente actualizados sus servidores, los cibercriminales podrían buscar puertos SMB expuestos, y en caso de encontrarlos, lanzan el código del exploit. Si logran vulnerarlo, el blanco afectado ejecutará entonces un payload elegido por el atacante. Las características de gusano de WannaCryptor.D aprovechando esta vulnerabilidad fue lo que hizo que se propagara rápidamente a lo largo de las redes.
Según la telemetría de ESET, los intentos de explotación de EternalBlue tuvieron un período de calma inmediatamente después de la campaña de WannaCryptor en 2017. Los meses siguientes al brote los intentos de utilización de los exploits que aprovechaban EternalBlue cayeron a “solamente” cientos de detecciones diarias. Sin embargo, desde septiembre del 2017 el uso de este tipo de exploit comenzó a aumentar su ritmo, creciendo de manera sostenida y alcanzando nuevos picos máximos a mediados de abril de 2018.
“Una posible explicación para esta alza en las detecciones es la campaña del ransomware Satan que se ha detectado cerca de esas fechas, aunque lo cierto es que podría estar conectado a otras actividades maliciosas también.”, mencionó Camilo Gutierrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica. “Es importante destacar que el método de infiltración utilizado por EternalBlue no es exitoso en dispositivos protegidos por ESET, ya que una de las múltiples capas de protección – Network Attack Protection module – bloquea esta amenaza en el punto de entrada.”, agregó Gutierrez.
EternalBlue permitió la realización de ciberataques de gran envergadura. Aparte de WannaCryptor, también impulsó el destructivo ataque Diskcoder.C (también conocido como Petya, NotPetya y ExPetya) de junio de 2017, además de la campaña del ransomware BadRabbit durante los últimos meses del 2017. También fue utilizado por el grupo de ciberespionaje Sednit (conocido como APT28, Fancy Bear and Sofacy) para atacar redes Wi-Fi en hoteles de Europa. Los exploit asociados con EternalBlue también fueron identificados como uno de los mecanismos de propagación de mineros de criptomonedas maliciosos. Y recientemente, fue utilizado para distribuir la campaña del ransomware Satan, descrito días después de que la telemetría de la compañía ESET detectara los picos
de EternalBlue de mediados de abril de 2018.
“Microsoft emitió actualizaciones que repararon la vulnerabilidad SMB el 14 de marzo de 2017, pero al día de hoy siguen habiendo muchas computadoras sin parches. Este exploit y todos los ataques que ha permitido hasta el momento, no hace más que remarcar la importancia de contar con parches a tiempo, así como también la necesidad de disponer de una solución de seguridad confiable que cuente con varias capas de seguridad y que sea capaz de bloquear la herramienta maliciosa subyacente.”, concluyó Camilo Gutierrez.