WannaCry, la punta del Iceberg

theshadowbrokers

El exploit EternalBlue, que es un componente instrumentado en el ataque de Ransomware WannaCry que ha dominado los titulares en el mundo desde la semana pasada, fue solo una de las muchas herramientas para explotar vulnerabilidades que fueron extraídas de la Agencia Nacional de Seguridad (NSA, en inglés), indica el grupo The Shadow Brokers, que fueron Gigabits de herramientas las que extrajeron al grupo elite de la NSA llamado The Equation Group. Esto está en sintonía con lo que expusimos en el ISEC Infosecurity 2017, Ciudad de Mexico, Monterrey y Guadalajara, donde explicamos que el 80% de los ataques a los sistemas del 2016 y Q1 2017 fueron realizados contra vulnerabilidades conocidas, incluso desde 2012. También explicamos que el mercado de las vulnerabilidades Dia 0 es muy amplio en la Deep web, una vez que sale un parche para una vulnerabilidad Dia 0, los oferentes poseen 4 o 5 vulnerabilidades más en su portafolio.

¿Por qué resulta particularmente de alto riesgo esta situación?

Si ponemos sobre la mesa la siguiente ecuación, Ley Patriot + NSA = exploits. Significa que este grupo tiene en su poder el conocimiento de las vulnerabilidades de diferentes sistemas, de diferentes fabricantes y las herramientas para explotar dichas vulnerabilidades. Hace horas el Grupo TheShadowBrokers publicó en su portal, prometiendo liberar información sobre mas vulnerabilidades Día 0 y exploits para varias plataformas de Desktop y móviles a partir del mes de junio 2017.

Ahora bien, en esta oportunidad la información no estará disponible para todos, tal como lo indica un miembro del grupo.

“TheShadowBrokers is launching new monthly subscription model. Is being like [the] wine of month club. Each month peoples can be paying membership fee, then getting members only data dump each month.”

Estas son buenas y malas noticias, buenas porque se conocerán las vulnerabilidades y los fabricantes podrán generar los parches, además que se espera que el usuario aplique con mayor velocidad estos parches, malas porque también estarán a la venta a los miembros privados los exploits.

Prepárense para el “Club del Vino del Mes” “Wine of Month Club”

Todo aquel que se suscriba al “Wine of Month Club”, pudiera tener acceso exclusivo a:

–          Exploits para navegadores web, routers y teléfonos inteligentes.

–          Exploits para sistemas operativos, incluyendo Windows 10.

–          Datos comprometidos de bancos y proveedores Swift.

–          Información robada de Rusia, China y el programa de misiles de Korea del Norte.

Toda una estrategia de mercadeo

Inicialmente, El grupo The Shadow Brokers puso las ciber armas robadas de la NSA en subasta por un millón de Bitcoins.

Después que fallara la subasta, el grupo puso las herramientas a la venta directa en la Deep web, categorizadas por tipo: exploits, troyano, entre otros, por un rango de 1 a 100 bitcoins.

Luego de fallar estas ventas al detal, el grupo comenzó a divulgar estas herramientas, tal como lo hizo el mes pasado liberando el exploit para Windows SMB, que luego fue usado por el Ransomware WannaCry y lo demás es historia.

Mientras tanto, debemos tomar real conciencia y acción para lo que viene, vendrán más ataques similares, el mundo debería prepararse bien para otro WannaCry.

 

Información tomada del sitio TheHackerNews, con comentarios propios del autor.

En ADV Integradores y consultores estamos a su disposición para apoyarlos con la estrategia de ciberseguridad que permita hacer frente a este tipo de amenazas, definiendo procesos efectivos que gestionen las vulnerabilidades y aplicando controles innovadores, estos son los principales retos a atender todos los que tenemos como responsabilidad mejorar la postura de seguridad de las organizaciones.

Jesús Dubront, CISM Director ADV Integradores y consultores jesus.dubront@adv-ic.com | @jdubront | www.adv-ic.com | @adv_ic  | Linkedin: ADV Integradores y consultores | Facebook:ADV Integradores y consultores

1 Comment

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s