Es bastante común que un malware popular experimente diversas alteraciones por codificadores maliciosos. Esto podría significar que se amplía el código original del virus, o también podría significar que hay virus copiadores que imitan la amenaza original. Los investigadores de seguridad están notando esta tendencia con el ransomware, especialmente con las copias de WannaCry que imitan el ransomware infame. No sólo el WannaCry original sigue siendo una amenaza, pero las divisiones de seguridad en las principales empresas tienen que lidiar con la realidad de las copias del WannaCry.

Volvio a suceder!

El ejemplo más reciente de esto es un ataque a los centros de servicio de LG en Corea del Sur. Como informó Shin Ji-Hye en The Korea Herald, los “centros de servicio de LG fueron atacados por un ransomware” y como resultado “la firma informó el caso a la agencia estatal de seguridad y Internet de Corea (KISA) ese día, después de detener el uso de los dispositivos.”

La declaración oficial de LG indicó que no se comprometió ningún dato sensible, ni tampoco hubo ningúna encriptación importante y solicitud de rescate posterior de los atacantes. Lo que planteó la preocupación acerca de las copias de WannaCry fue la investigación llevada a cabo por la Agencia de Internet y Seguridad de Corea.

En una declaración a los medios coreanos, KISA declaró lo siguiente:

Encontramos que las muestras del código malicioso (encontradas en los quioscos de LG) eran idénticas al ataque de ransomware de WannaCry. Todavía se necesita más investigación para determinar la causa exacta.

La falla humana

Los investigadores de seguridad pueden tener un lugar para comenzar, sin embargo, se encuentra a los pies de la jerarquía corporativa de LG. Lo que quiero decir con esto es que, a pesar de innumerables advertencias para corregir las vulnerabilidades explotadas por WannaCry, LG muy bien puede no haberlo hecho. Como Dean Ferrando, Gerente EMEA de Tripwire, declaró:

Los informes sugieren que la compañía no había aplicado todas las actualizaciones de seguridad disponibles de Microsoft. Esto destaca algo que ya sabíamos – muchas organizaciones no son buenas en la aplicación de actualizaciones de seguridad de software. El error humano es, más allá de todas las demás áreas, donde las violaciones de seguridad se originan con mayor frecuencia.

¿Podria haber algo mas?

Será interesante ver qué información adicional KISA puede descubrir en su investigación. Mientras que el origen del ataque no ha sido descubierto, no es totalmente imposible que el ataque haya ocurrido en el sitio. Estos quioscos son de autoservicio, y si el hacker fue cuidadoso, no habría sospechas. Por supuesto, el acceso remoto tampoco puede descartarse, y si de hecho fuera un ataque remoto, entonces LG tiene problemas mayores en sus manos que simplemente asegurar sus quioscos.

Cualquiera que sea el resultado de la investigación de KISA, es vital que las compañías tomen nota de este incidente y aseguren que los puntos de entrada comunes para los copias de WannaCry sean seguros. El más grande de éstos es el puerto 445 de SMB. Más allá de esto, y debe repetirse puesto que la gente todavía no puede seguir los protocolos de seguridad apropiados: remendar sus vulnerabilidades!

Translate »