"Tormenta perfecta" de condiciones ayudó al ataque cibernético a tener éxito
VOA
El ataque de cyberextortion que golpea a docenas de países se extendió rápidamente y ampliamente gracias a una confluencia inusual de factores: un agujero de seguridad conocido y altamente peligroso en Microsoft Windows, los usuarios tardíos que no aplicaron la revisión de software de marzo de Microsoft y un diseño de software que permitió el malware Para difundir rápidamente una vez dentro de universidades, empresas y redes gubernamentales.
Sin mencionar el hecho de que los responsables fueron capaces de tomar prestado código de software armado aparentemente creado por la Agencia de Seguridad Nacional de los Estados Unidos para lanzar el ataque en primer lugar.
Otros criminales podrían sentirse tentados a imitar el éxito del ataque de "ransomware" del viernes, que bloquea las computadoras y mantiene los archivos de las personas en busca de rescate. Los expertos dicen que será difícil para ellos replicar las condiciones que permitieron que el llamado "ransomware" de WannaCry proliferara en todo el mundo.
Pero todavía es probable que vivamos con variantes menos virulentas de WannaCry durante algún tiempo. Y eso es por una simple razón: Individuos y organizaciones por igual son fundamentalmente terribles acerca de mantener sus computadoras actualizadas con arreglos de seguridad.
El gusano
Uno de los primeros "ataques" en Internet ocurrió en 1988, cuando un estudiante graduado llamado Robert Morris Jr. publicó un programa de autorreplicación y auto-propagación conocido como "gusano" en el entonces naciente Internet. Ese programa se propagó mucho más rápido de lo esperado, pronto se ahogó y se estrelló en las máquinas a través de Internet.
El gusano Morris no era malicioso, pero otras variantes más desagradables siguieron - en primer lugar para la molestia, más tarde para fines criminales, como el robo de contraseñas. Pero estos ataques de gusano se hicieron más difíciles de lograr, ya que los propietarios de computadoras y fabricantes de software reforzaron sus defensas.
Así que los delincuentes se volvieron ataques dirigidos en lugar de quedarse por debajo del radar. Con el ransomware, los delincuentes suelen engañar a los individuos para que abran un archivo adjunto de correo electrónico que contenga software malicioso. Una vez instalado, el malware sólo bloquea ese equipo sin extenderse a otras máquinas.
Los hackers detrás de WannaCry llevaron las cosas un paso más allá al crear un gusano de ransomware, lo que les permitió exigir pagos de rescate no solo de organizaciones individuales sino de organizaciones enteras, tal vez incluso miles de organizaciones.
Tormenta perfecta
Una vez dentro de una organización, WannaCry utiliza una vulnerabilidad de Windows supuestamente identificada por la NSA y más tarde filtrada a Internet. Aunque Microsoft lanzó correcciones en marzo, los atacantes contaban con muchas organizaciones que no estaban recibiendo para aplicar esas correcciones. Efectivamente, WannaCry encontró un montón de objetivos.
Dado que los profesionales de la seguridad suelen centrarse en la construcción de muros para impedir que los hackers entren, la seguridad tiende a ser menos riguroso dentro de la red. WannaCry explotó las técnicas comunes que los empleados utilizan para compartir archivos a través de un servidor central.
"El malware que penetra en el perímetro y luego se propaga dentro de la red tiende a tener bastante éxito", dijo Johannes Ullrich, director del Internet Storm Center del SANS Institute.
Infecciones persistentes
Steve Grobman, director de tecnología de McAfee, una compañía de seguridad en Santa Clara, California, dijo: "Cuando se demuestra que cualquier técnica es eficaz, casi siempre hay copias, pero eso es complicado, porque los hackers necesitan encontrar fallas de seguridad Desconocido, generalizado y relativamente fácil de explotar.
En este caso, dijo, la NSA aparentemente entregó a los fabricantes de WannaCry un proyecto de código pre-escrito para explotar la falla, permitiendo a los atacantes esencialmente cortar y pegar ese código en su propio malware.
Mikko Hypponen, director de investigación de la empresa de ciberseguridad F-Secure, con sede en Helsinki, dijo que los ataques de ransomware como WannaCry "no van a ser la norma". Sin embargo, todavía podrían permanecer como infecciones de bajo grado que se inflaman de vez en cuando.
Por ejemplo, el virus Conficker, que apareció por primera vez en 2008 y puede desactivar las funciones de seguridad del sistema, también se propaga a través de vulnerabilidades en el intercambio de archivos interno. A medida que los fabricantes de software anti-virus lanzan actualizaciones para bloquearlo, los hackers implementan nuevas variantes para evadir la detección.
Conficker era más de una plaga y no hizo daño importante. WannaCry, por el contrario, amenaza con bloquear permanentemente los archivos de usuario si el dueño de la computadora no paga un rescate, que comienza en $ 300 pero sube después de dos horas.
El daño podría haber sido contenido temporalmente. Un investigador de ciberseguridad joven no identificado afirmó ayudar a detener la propagación de WannaCry mediante la activación de un llamado "interruptor de matar". Otros expertos encontraron que su afirmación era creíble. Pero los atacantes pueden, y probablemente lo harán, simplemente desarrollar una variante para evitar esta contramedida.
Defiéndete
Es probable que el ataque induzca a más organizaciones a aplicar las correcciones de seguridad que evitarían que el malware se propagara automáticamente. "Habla de una llamada de atención", dijo Hypponen.
Las empresas a menudo son lentas para aplicar estas correcciones, denominadas parches, debido a las preocupaciones de que cualquier cambio de software podría romper algún otro programa, posiblemente cerrando operaciones críticas.
"Siempre que hay un nuevo parche, hay un riesgo en la aplicación del parche y un riesgo en no aplicar el parche", dijo Grobman. "Parte de lo que una organización necesita para comprender y evaluar es cuáles son esos dos riesgos".
El ataque del viernes podría impulsar a las compañías a reevaluar el equilibrio. Y mientras otros atacantes podrían usar el mismo defecto, tales ataques serán cada vez menos exitosos a medida que las organizaciones lo reparen.
Microsoft tomó el paso inusual el viernes de hacer parches libres disponibles para sistemas Windows antiguos, como Windows XP a partir de 2001. Antes, Microsoft había hecho tales arreglos disponibles sólo para organizaciones mayormente grandes que pagan más por el soporte extendido, sin embargo, millones de personas y más pequeñas Las empresas todavía tenían estos sistemas.
Pero habrá otras vulnerabilidades por venir, y no todas tendrán arreglos para sistemas más antiguos. Y esas correcciones no harán nada para los nuevos sistemas si no están instalados.
El ataque de cyberextortion que golpea a docenas de países se extendió rápidamente y ampliamente gracias a una confluencia inusual de factores: un agujero de seguridad conocido y altamente peligroso en Microsoft Windows, los usuarios tardíos que no aplicaron la revisión de software de marzo de Microsoft y un diseño de software que permitió el malware Para difundir rápidamente una vez dentro de universidades, empresas y redes gubernamentales.
Sin mencionar el hecho de que los responsables fueron capaces de tomar prestado código de software armado aparentemente creado por la Agencia de Seguridad Nacional de los Estados Unidos para lanzar el ataque en primer lugar.
Otros criminales podrían sentirse tentados a imitar el éxito del ataque de "ransomware" del viernes, que bloquea las computadoras y mantiene los archivos de las personas en busca de rescate. Los expertos dicen que será difícil para ellos replicar las condiciones que permitieron que el llamado "ransomware" de WannaCry proliferara en todo el mundo.
Pero todavía es probable que vivamos con variantes menos virulentas de WannaCry durante algún tiempo. Y eso es por una simple razón: Individuos y organizaciones por igual son fundamentalmente terribles acerca de mantener sus computadoras actualizadas con arreglos de seguridad.
El gusano
Uno de los primeros "ataques" en Internet ocurrió en 1988, cuando un estudiante graduado llamado Robert Morris Jr. publicó un programa de autorreplicación y auto-propagación conocido como "gusano" en el entonces naciente Internet. Ese programa se propagó mucho más rápido de lo esperado, pronto se ahogó y se estrelló en las máquinas a través de Internet.
El gusano Morris no era malicioso, pero otras variantes más desagradables siguieron - en primer lugar para la molestia, más tarde para fines criminales, como el robo de contraseñas. Pero estos ataques de gusano se hicieron más difíciles de lograr, ya que los propietarios de computadoras y fabricantes de software reforzaron sus defensas.
Así que los delincuentes se volvieron ataques dirigidos en lugar de quedarse por debajo del radar. Con el ransomware, los delincuentes suelen engañar a los individuos para que abran un archivo adjunto de correo electrónico que contenga software malicioso. Una vez instalado, el malware sólo bloquea ese equipo sin extenderse a otras máquinas.
Los hackers detrás de WannaCry llevaron las cosas un paso más allá al crear un gusano de ransomware, lo que les permitió exigir pagos de rescate no solo de organizaciones individuales sino de organizaciones enteras, tal vez incluso miles de organizaciones.
Tormenta perfecta
Una vez dentro de una organización, WannaCry utiliza una vulnerabilidad de Windows supuestamente identificada por la NSA y más tarde filtrada a Internet. Aunque Microsoft lanzó correcciones en marzo, los atacantes contaban con muchas organizaciones que no estaban recibiendo para aplicar esas correcciones. Efectivamente, WannaCry encontró un montón de objetivos.
Dado que los profesionales de la seguridad suelen centrarse en la construcción de muros para impedir que los hackers entren, la seguridad tiende a ser menos riguroso dentro de la red. WannaCry explotó las técnicas comunes que los empleados utilizan para compartir archivos a través de un servidor central.
"El malware que penetra en el perímetro y luego se propaga dentro de la red tiende a tener bastante éxito", dijo Johannes Ullrich, director del Internet Storm Center del SANS Institute.
Infecciones persistentes
Steve Grobman, director de tecnología de McAfee, una compañía de seguridad en Santa Clara, California, dijo: "Cuando se demuestra que cualquier técnica es eficaz, casi siempre hay copias, pero eso es complicado, porque los hackers necesitan encontrar fallas de seguridad Desconocido, generalizado y relativamente fácil de explotar.
En este caso, dijo, la NSA aparentemente entregó a los fabricantes de WannaCry un proyecto de código pre-escrito para explotar la falla, permitiendo a los atacantes esencialmente cortar y pegar ese código en su propio malware.
Mikko Hypponen, director de investigación de la empresa de ciberseguridad F-Secure, con sede en Helsinki, dijo que los ataques de ransomware como WannaCry "no van a ser la norma". Sin embargo, todavía podrían permanecer como infecciones de bajo grado que se inflaman de vez en cuando.
Por ejemplo, el virus Conficker, que apareció por primera vez en 2008 y puede desactivar las funciones de seguridad del sistema, también se propaga a través de vulnerabilidades en el intercambio de archivos interno. A medida que los fabricantes de software anti-virus lanzan actualizaciones para bloquearlo, los hackers implementan nuevas variantes para evadir la detección.
Conficker era más de una plaga y no hizo daño importante. WannaCry, por el contrario, amenaza con bloquear permanentemente los archivos de usuario si el dueño de la computadora no paga un rescate, que comienza en $ 300 pero sube después de dos horas.
El daño podría haber sido contenido temporalmente. Un investigador de ciberseguridad joven no identificado afirmó ayudar a detener la propagación de WannaCry mediante la activación de un llamado "interruptor de matar". Otros expertos encontraron que su afirmación era creíble. Pero los atacantes pueden, y probablemente lo harán, simplemente desarrollar una variante para evitar esta contramedida.
Defiéndete
Es probable que el ataque induzca a más organizaciones a aplicar las correcciones de seguridad que evitarían que el malware se propagara automáticamente. "Habla de una llamada de atención", dijo Hypponen.
Las empresas a menudo son lentas para aplicar estas correcciones, denominadas parches, debido a las preocupaciones de que cualquier cambio de software podría romper algún otro programa, posiblemente cerrando operaciones críticas.
"Siempre que hay un nuevo parche, hay un riesgo en la aplicación del parche y un riesgo en no aplicar el parche", dijo Grobman. "Parte de lo que una organización necesita para comprender y evaluar es cuáles son esos dos riesgos".
El ataque del viernes podría impulsar a las compañías a reevaluar el equilibrio. Y mientras otros atacantes podrían usar el mismo defecto, tales ataques serán cada vez menos exitosos a medida que las organizaciones lo reparen.
Microsoft tomó el paso inusual el viernes de hacer parches libres disponibles para sistemas Windows antiguos, como Windows XP a partir de 2001. Antes, Microsoft había hecho tales arreglos disponibles sólo para organizaciones mayormente grandes que pagan más por el soporte extendido, sin embargo, millones de personas y más pequeñas Las empresas todavía tenían estos sistemas.
Pero habrá otras vulnerabilidades por venir, y no todas tendrán arreglos para sistemas más antiguos. Y esas correcciones no harán nada para los nuevos sistemas si no están instalados.
Entradas
Post a Comment