Ya apuntaba Cisco, recuerda Eutimio Fernández, director de ciberseguridad de la multinacional en España, que se verían en el mercado nuevas variantes de ransomware aún más destructivas capaces de extenderse por sí mismos (auto-replicarse) y secuestrar redes enteras. Y la previsión se ha cumplido con WannaCry, “especialmente efectivo para extenderse lateralmente por la misma red, instalándose automáticamente en otros terminales sin intervención alguna del usuario”, explica. “Es la primera vez que vemos un ransomware combinado con un gusano en un ataque real y a gran escala”, remata.
Fernández reconoce los métodos de los ciberdelincuentes no dejan de evolucionar en número y complejidad, “superando en muchos casos la capacidad de las organizaciones para defenderse o limitar el espacio operativo de los atacantes”. Anticipa el futuro señalando que las cepas de ransomware modular podrán cambiar sus tácticas rápidamente para maximizar su eficacia. “Los futuros ataques de ransomware ocultarán su detección limitando el uso de CPU y evitando acciones ‘command-and-control’, extendiéndose con mayor rapidez”.
Como es lógico, el experto explica que los sistemas descatalogados y no actualizados crean oportunidades adicionales para los atacantes. En el caso concreto de este ataque, “muchos equipos quedaron sin parchear en todo el mundo, especialmente los ordenadores corriendo con Windows XP que ya no tienen soporte de Microsoft, así como aquellos con copias piratas del sistema”.
Fernández insiste también en que hay que reducir el tiempo de detección de nuevas amenazas y la visibilidad de la red; esencial “para limitar el espacio operativo de los atacantes, minimizar el daño derivado de las intrusiones y comprender los métodos usados para, de esta forma, defendernos mejor”.
A su juicio, los protocolos de mitigación de las empresas no han funcionado todo lo correctamente que hubieran debido. En el caso concreto de WannaCry, recomienda que en el caso de las organizaciones con sistemas más antiguos, Fernández recomienda bloquear protocolos legacy como SMBv1 en la red, así como bloquear todas las conexiones SMB (puertos TCP 139 y 445) de hosts accesibles externamente.