El mundo de antivirus

martes, 20 de junio de 2017

El troyano WannaCry apareció de repente y enseguida se convirtió en un problema para expertos en seguridad. Pero… ¿en realidad fue todo tan inesperado?

La actualización MS17-010 que corrigió las vulnerabilidades de Windows SMB usadas por WannaCry, fue lanzada en marzo de 2017. Más o menos al mismo tiempo las vulnerabilidades publicadas por Shadow Brokers fueron disponibles para el análisis de expertos. Y si la actualización no significaba mucho para administradores de sistemas, las opiniones de los expertos se publicaban con mayor frecuencia y los que están al tanto de las noticias en el mundo de la seguridad informática deberían notarlo.

DoublePulsar (una de las herramientas publicadas que permitía implementar el código nocivo en la memoria del equipo atacado) fue analizado por primera vez por el analista jefe en seguridad informática de RiskSense Shawn Dillon . Según él, esta herramienta esquiva las herramientas de protección incrustadas y asegura control completo sobre el sistema.

Aún antes del ataque WannaCry Dan Tentler, fundador y director general de Phobos Group, escaneó Internet y detectó que 3,1% equipos que tiene esta vulnerabilidad ya están infectados.

El análisis de los recursos en Internet realizado por Matthew Hickey, fundador de la empresa de consultoría británica Hacker House, demostró que al publicar los exploits (7 de abril de 2017) empezaron las investigaciones de posibilidades de su uso, aparecieron publicaciones de documentos y videos, junto con los cuales se podía descargar un exploit. Esto significaba que los exploits publicados funcionan y están listos para ser usados. «De esta forma, esta vulnerabilidad deja de ser exclusiva y disponible solo para los hackers que tiene bastantes recursos, para ser un arma de masiva. En poco tiempo, estos exploits se usarán para entregar programas extorsionistas, bots y otros programas nocivos». Así mismo, según Jack Williams, el presidente de Rendition InfoSec, conocido también como MalwareJake, anteriormente los ataques se realizaban manualmente: el malintencionado indicaba la dirección del recurso atacado y esperaba los resultados.

¿Alguién escucho a esas Casandras?

El pánico causado por los medios de comunicación debería convencer a todos de la necesidad de corregir la vulnerabilidad. Pero:

• Más de 18% usuarios en el mundo usan las versiones Windows que no son de licencia,
• Un 23% (¡casi un tercio!) tienen desactivado el servicio Windows Update,
• Y un 6% usan los SO para los cuales las actualizaciones no se lanzan nunca.

Conficker (también llamado Downup, Downadup o Kido) empezó a atacar el 21 de noviembre de 2008 y hasta enero del año siguiente infectó 12 millones de equipos en todo el mundo. Las infecciones fueron posibles porque la mayor parte de los usuarios no instalaron la actualización MS08-067. ¿Piensa que ahora todo el mundo tiene instaladas estas actualizaciones? No es así.

Adivine en qué año hemos recibido esta solicitud. En 2017!