"Petya” y “Wanacry” los Ransomware más mediáticos
Fecha: 2023-06-06 11:40:37Autor: Alex Rubio
Es para mucha gente aun desconocido el procedimiento que se usa para infectar ordenadores y secuestrar su información en estas últimas oleadas de cibercrimen. Este desconocimiento hace que muchas empresas y particulares sean vulnerables a este tipo de ataque informático. Y hacen posible que, incluso después del primer ataque masivo, llamado Wanacry, tengamos posteriores víctimas. La razón: falta de información. Por eso, han sido víctimas del segundo ataque llamado Petya.
Los orígenes de esta vulnerabilidad.
La vulnerabilidad usada por estos Ransomware fue descubierta por la NSA (llamada Eternalblue). Además, fue usada a espaldas de la sociedad durante años para propósitos de ciberdefensa. Una empresa Americana de ciberseguridad , llamada Siege Technologies, desarrolló la herramienta conjuntamente con la NSA. Asimismo, un grupo de hackers robó estas herramientas de explotación de vulnerabilidad a la NSA. Los llamados Shadow Brokers publicados por Wikileaks hace ya algunos meses. Por lo tanto, accesibles a cualquier ciudadano de este mundo.
¿En qué consiste esta vulnerabilidad?
La vulnerabilidad explota el protocolo SMB (Samba). Este es un protocolo que se usa para compartir archivos entre ordenadores Windows. Para tal efecto, los ordenadores usan el puerto 139 y 445. Esta vulnerabilidad, permite al atacante inyectar programas en el ordenador de la víctima. Así, consigue propagarse en forma de gusano entre los ordenadores de la red secuestrando la información de ciertas extensiones de fichero.
¿Cómo es posible la infección y cómo debemos protegernos?
La infección es posible gracias a que algunos ordenadores se conectan través de un router a Internet. Este router no tiene correctamente los puertos de comunicación cerrados. Muchas veces, en routers de empresas que quieren compartir información entre oficinas o usuarios privados, configuran incorrectamente el router abriendo todos los puertos y no de forma selectiva. Si los puertos 139 y 445 son accesibles desde fuera de nuestra red, podemos ser víctimas del ataque y comprometer toda nuestra red interna. Todos los ordenadores Windows suelen tener por defecto estos puertos accesibles y la infección corre como la pólvora.
Podemos evitar esta situación mediante dos simples acciones
- Actualizar nuestro Windows/Linux/MacOs. Las actualizaciones de seguridad ya están disponibles desde hace semanas. Sobre todo, si disponemos de un sistema Windows, donde el protocolo SMB está instalado por defecto en todas sus versiones.
- Cerrar los puertos de nuestro router para que los puertos 445 y 139 no sean accesibles desde fuera de nuestra red.
Recordad que en Internet hay miles de arañas escaneando constantemente la Red en búsqueda de nuevas víctimas para financiar todo tipo de operaciones ilegales. Intentad no ser los siguientes. Alex Rubio