Distintos investigadores de seguridad han indentificado cientos de muestras de WannaCry en Internet, según se recoge en ZDNet. Recordamos que este ransomware es el responsable del ataque a Telefónica la semana pasada, que después se extendió por todo el mundo y causó estragos en infraestructuras informáticas de todo el planeta.
Según un informe publicado por Trustlook, 386 muestras del malware en total se han encontrado por toda la red. Por ahora WannaCry ha atacado al menos 150 países, centrándose en equipos que ejecutaban versiones de Windows sin actualizar y pidiendo un rescate para recuperar sus datos.
Al parecer, el malware utiliza el exploit EternalBlue, filtrado de los datos que Shadow Brokers robaron a la NSA. El exploit se aprovecha de una vulnerabilidad ya corregida del protocolo SMB, escaneando 445 puertos de intercambio de archivos desde puntos finales de Windows para acceder a Internet y permitir la descarga y ejecución de ransomware y otros programas maliciosos.
Según el medio, es posible que todas esas muestras de malware hayan surgido debido a la actualización de los kits de exploits actualmente disponibles para "inocular" WannaCry en los equipos informáticos. Los primeros ejemplos de WannaCry son anteriores a la versión usada en los ataques recientes, y datan de febrero de 2017.
Después de atacar a los hospitales británicos, Microsoft liberó una actualización de emergencia en un movimiento inusual pera sistemas operativos antiguos y sin soporte, como podría ser Windows XP. Por ahora, los sistemas afectados por WannaCry están en pleno proceso de actualización. Según se recoge, llevan al menos dos meses de retraso con respecto a las actualizaciones de seguridad actuales.
El CEO y cofundador de Trustlook, Allan Zhang, decía esto en el informe de la empresa:
Este ataque es de una escala sin precedentes. Los usuarios de Windows y los administradores de sistemas deberían asegurarse de que sus sistemas estén actualizados con los últimos parches de seguridad para ayudar a evitar futuras infecciones y para frenar el avance del ransomware.
Se puede encontar más información en el blog de Trustlook. La empresa también ha lanzado una herramienta para escanear y "vacunar" máquinas potencialmente vulnerables que ejecuten Windows Desactualizados, que se puede descargar desde GitHub.
Vía | ZDNet
Más información | Trustlook
En Xataka | Wanna Decryptor: así funciona el ransomware que se ha usado en el ciberataque a Telefónica
Ver 3 comentarios