Ha pasado más de un año desde que los exploits altamente clasificados construidos por la Agencia de Seguridad Nacional fueron robados y publicados en línea.
Una de las herramientas, denominada EternalBlue, puede infiltrarse de forma encubierta en casi cualquier máquina con Windows del mundo. No pasó mucho tiempo para que los piratas informáticos comenzaran a usar los exploits para ejecutar ransomware en miles de computadoras, paralizando hospitales y empresas. Dos ataques separados en otros tantos meses utilizaron el ransomware WannaCry y NotPetya, que se extendió como la pólvora. Una vez que una sola computadora en una red estaba infectada, el malware también apuntaba a otros dispositivos en la red. La recuperación fue lenta y cuestan a las empresas cientos de millones en daños.
Sin embargo, más de un año desde que Microsoft parches lanzados que cerró de golpe la puerta trasera, casi un millón de computadoras y redes aún no están parcheados y son vulnerables a los ataques.
Aunque las infecciones de WannaCry se han ralentizado, los piratas informáticos todavía utilizan los exploits de la NSA de acceso público para infectar computadoras y minar criptomonedas.
Nadie lo sabe mejor que una gran multinacional de Fortune 500, que fue golpeada por una infección masiva de minería de criptomonedas WannaMine hace solo unos días.
“Nuestro cliente es una corporación muy grande con múltiples oficinas en todo el mundo”, dijo Amit Serper, quien dirige el equipo de investigación de seguridad en Cybereason, con sede en Boston.
“Una vez que su primera máquina fue atacada, el malware se propagó a más de 1000 máquinas en un día”, dijo, sin nombrar a la empresa.
Los ataques de criptominería han existido por un tiempo. Es más común que los piratas informáticos inyecten código de minería de criptomonedas en sitios web vulnerables, pero los beneficios son bajos. Algunos sitios de noticias ahora instalando su propio código de minería como alternativa a la ejecución de anuncios.
Pero WannaMine funciona de manera diferente, dijo Cybereason en su Post mortem de la infección. Al utilizar esos exploits filtrados de la NSA para hacerse un hueco en una red, el malware intenta infectar cualquier computadora que se encuentre dentro. Es persistente, por lo que el malware puede sobrevivir a un reinicio. Una vez implantado, el malware utiliza el procesador de la computadora para extraer criptomonedas. En docenas, cientos o incluso miles de computadoras, el malware puede minar criptomonedas mucho más rápido y de manera más eficiente. Aunque es una pérdida de energía y recursos informáticos, a menudo puede pasar desapercibida.
Una vez que el malware se propaga dentro de la red, modifica la configuración de administración de energía para evitar que la computadora infectada entre en suspensión. No solo eso, el malware intenta detectar otros scripts de minería de criptomonedas que se ejecutan en la computadora y los termina, lo que probablemente exprima hasta el último bit de energía del procesador, maximizando su esfuerzo de minería.
Al menos 300,000 computadoras o redes siguen siendo vulnerables a las herramientas de piratería EternalBlue de la NSA.
Basado sobre estadísticas actualizadas de Shodan, un motor de búsqueda de puertos abiertos y bases de datos, al menos 919.000 servidores siguen siendo vulnerables a EternalBlue, con unas 300.000 máquinas solo en EE. UU. Y eso es solo la punta del iceberg: esa cifra puede representar computadoras vulnerables individuales o un servidor de red vulnerable capaz de infectar cientos o miles de máquinas más.
Cybereason dijo que las empresas aún se ven gravemente afectadas porque sus sistemas no están protegidos.
“No hay ninguna razón por la que estos exploits deban permanecer sin parches”, decía la publicación del blog. “Las organizaciones necesitan instalar parches de seguridad y actualizar las máquinas”.
Si ayer no fue ransomware, hoy es malware cryptomining. Dado lo versátil que es el exploit EternalBlue, mañana podría ser algo mucho peor, como el robo o la destrucción de datos.
En otras palabras: si aún no lo ha parcheado, ¿a qué está esperando?
Source link