{"id":887,"date":"2019-05-17T10:00:23","date_gmt":"2019-05-17T08:00:23","guid":{"rendered":"https:\/\/www.semsin.es\/web\/?p=887"},"modified":"2019-05-27T10:26:21","modified_gmt":"2019-05-27T08:26:21","slug":"detecciones-de-eternalblue-alcanzan-nuevo-pico-desde-el-brote-de-wannacryptor","status":"publish","type":"post","link":"https:\/\/www.semsin.es\/web\/detecciones-de-eternalblue-alcanzan-nuevo-pico-desde-el-brote-de-wannacryptor\/","title":{"rendered":"Detecciones de EternalBlue alcanzan nuevo pico desde el brote de WannaCryptor"},"content":{"rendered":"

Han pasado dos a\u00f1os desde que EternalBlue abri\u00f3 la puerta a\u00a0WannaCryptor (o WannaCry)<\/a>, uno de los peores brotes de ransomware en la historia. Desde este incidente provocado por el infame malware, los intentos de\u00a0utilizar el exploit<\/a>\u00a0solo han incrementado.<\/p>\n

<\/p>\n

Actualmente, est\u00e1 en su pico m\u00e1ximo de popularidad, con usuarios siendo bombardeados por cientos y miles de ataques cada d\u00eda.<\/p>\n

El exploit EternalBlue supuestamente fue robado de la Agencia Nacional de Seguridad de los Estados Unidos (NSA) en 2016 y se filtr\u00f3 el 14 de abril de 2017 por un grupo conocido como Shadow Brokers. El exploit apunta a una vulnerabilidad en la implementaci\u00f3n del protocolo del Bloque de Mensaje de Servidor (SMB, por sus siglas en ingl\u00e9s) de Microsoft, a trav\u00e9s del puerto 445. El fallo fue divulgado de manera privada a Microsoft, quien\u00a0desarroll\u00f3 un parche que repara la vulnerabilidad<\/a>\u00a0incluso antes de que ocurra el brote de WannaCryptor en 2017. Sin embargo, a pesar de los esfuerzos, todav\u00eda siguen existiendo una gran cantidad de sistemas vulnerables.<\/p>\n

De acuerdo a datos extra\u00eddos de\u00a0Shodan<\/a>, actualmente existe cerca de un mill\u00f3n de m\u00e1quinas operando de manera activa que utilizan el obsoleto protocolo SMB v1, exponiendo el puerto a Internet de manera p\u00fablica. La mayor\u00eda de estos dispositivos est\u00e1n en los Estados Unidos, Jap\u00f3n y Rusia.<\/p>\n

\"\"<\/a><\/p>\n

Malas pr\u00e1cticas de seguridad y la ausencia de parches de seguridad instalados son la raz\u00f3n que explica por qu\u00e9 el uso malicioso del exploit EternalBlue ha estado creciendo continuamente desde el comienzo de 2017, cuando se filtr\u00f3 en Internet.<\/p>\n

Basados en la telemetr\u00eda de ESET, los intentos de ataque que involucraban el uso de EternalBlue est\u00e1n alcanzando picos hist\u00f3ricos, con cientos de miles de instancias siendo bloqueadas de manera diaria, como se puede observar en la Figura 1.<\/p>\n

\n

\"\"<\/a><\/p>\n

Figura 1. Tendencia de las detecciones de EternalBlue, de acuerdo a ESET LiveGrid\u00ae<\/strong><\/p>\n<\/div>\n

Una tendencia similar puede observarse al mirar el n\u00famero de clientes \u00fanicos de ESET reportando miles de intentos de utilizar el exploit de manera diaria, como se puede apreciar en la Figura 2.<\/p>\n

\n

\"\"<\/a><\/p>\n

Figua 2. Tendencia de clientes \u00fanicos reportando intentos de ataque del exploit EternalBlue, de acuerdo a informaci\u00f3n extra\u00edda de ESET LiveGrid\u00ae<\/strong><\/p>\n<\/div>\n

M\u00e1s all\u00e1 del uso malicioso, los n\u00fameros de EternalBlue pueden estar creciendo como consecuencia de su uso para prop\u00f3sitos de seguridad interna. A pesar de ser una de las herramientas maliciosas m\u00e1s populares, este exploit puede ser utilizado por departamentos de compa\u00f1\u00edas de seguridad como un medio para la identificaci\u00f3n de vulnerabilidades en redes corporativas.<\/p>\n

EternalBlue ha permitido muchos ciberataques de alto perfil. Adem\u00e1s de WannaCryptor, este exploit hizo posible la destructiva campa\u00f1a de\u00a0Diskoder.C<\/a>\u00a0(tambi\u00e9n conocida como Petya, NotPetya y ExPetya) y la campa\u00f1a del\u00a0ransomware BadRabbit<\/a>\u00a0en 2017. Tambi\u00e9n se supo que conocidos actores del ciberespionaje como\u00a0Sednit<\/a>(tambi\u00e9n conocido como APT28, Fancy Bear y Sofacy) tambi\u00e9n lo utilizaron contra redes Wi-Fi de hoteles.<\/p>\n

Tambi\u00e9n se ha detectado recientemente que este exploit se ha estado utilizando para\u00a0distribuir Troyanos y malware<\/a>\u00a0para minar criptomonedas en China \u2013vuelve a ser utilizado en la funci\u00f3n para la cual fue originalmente dise\u00f1ado, incluso\u00a0antes del brote de WannaCryptor<\/a>\u2013 y fue anunciado por hackers de sombrero negro como mecanismo de distribuci\u00f3n para un nuevo\u00a0ransomware como servicio denominado Yatron<\/a>.<\/p>\n

Este exploit y todos los ciberataques que posibilit\u00f3, son un gran ejemplo al evidenciar la importancia que tiene tanto el lanzamiento como la instalaci\u00f3n de parches de seguridad a tiempo. Adem\u00e1s, enfatiza la necesidad de contar con soluciones de seguridad confiables y que implementen m\u00faltiples capas, para que as\u00ed puedan hacer m\u00e1s que solo detener el payload malicioso, como puede ser la protecci\u00f3n contra mecanismos en segundo plano<\/p>\n

Fuente:\u00a0www.welivesecurity.com<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Han pasado dos a\u00f1os desde que EternalBlue abri\u00f3 la puerta a\u00a0WannaCryptor (o WannaCry), uno de los peores brotes de ransomware en la historia. Desde este…<\/p>\n

Leer m\u00e1s<\/a><\/p>\n","protected":false},"author":1,"featured_media":890,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_mi_skip_tracking":false},"categories":[44,43,1],"tags":[77,104,46,105],"_links":{"self":[{"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/posts\/887"}],"collection":[{"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/comments?post=887"}],"version-history":[{"count":0,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/posts\/887\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/media\/890"}],"wp:attachment":[{"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/media?parent=887"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/categories?post=887"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.semsin.es\/web\/wp-json\/wp\/v2\/tags?post=887"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}