6 de junio de 2019

EternalBlue dos años después: ataques contra ayuntamientos.

El ayuntamiento de Baltimore ha sido el último de una lista de corporaciones locales que incluye a los ayuntamientos de Pensilvania o Texas, entre otros, en sufrir ataques informáticos graves que paralizaron algunas infraestructuras críticas de la ciudad.
A pesar de que el código del exploit fue conocido hace ya más de dos años a raíz de una filtración y de que Microsoft liberó las pertinentes actualizaciones de seguridad, aún existe una ingente cantidad de sistemas desactualizados en las administraciones. En el caso de Baltimore, ciudad que sólo destinaba un 2,5% de su presupuesto a ciberseguridad, los ataques han afectado a áreas tan diversas como las alertas de salud, facturación del agua, servicios de correo electrónico o ventas públicas, pagos de multas y comunicación del ayuntamiento con proveedores.
Es necesario recordar que fue la NSA quien, supuestamente, retuvo durante años el código del exploit sin avisar tan siquiera al proveedor de servicios afectado, Microsoft. Sólo cuando detectaron el robo de información se vieron obligados a reportar la incidencia a Microsoft. Sin embargo, la NSA jamás ha comparecido para aclarar lo sucedido de manera pública.
Un hecho diferenciador con respecto a otros ataques es el empleo de las propias herramientas de la NSA contra infraestructuras estadounidenses así como las reacciones despertadas en las corporaciones locales. Los responsables de los ayuntamientos han exigido información y medios a interlocutores del FBI y la NSA, quienes se niegan a comentar el asunto, provocando un conflicto entre distintos niveles de las administraciones.
La realidad es que, actualmente, existen más de un millón de equipos desactualizados que mantienen el puerto 445, objeto del ataque, expuesto a todo internet. La mayoría de esos sistemas se encuentran además en Estados Unidos.
Top 5 países vulnerables a EternalBlue: EEUU, Japón, Rusia, Alemania, Taiwan.
Dos años después, EternalBlue sigue operando como vector fundamental de distintos ataques informáticos. En el caso de Baltimore, fue un empleado público quien, víctima de un ataque de phishing, infectó el equipo con ‘RobbinHood‘ una variante nueva de ransomware que hace uso de EternalBlue. Lo que revela, fundamentalmente, dos aspectos del estado de la ciberseguridad actual.
En primer lugar, los ataques por ingeniería social, que involucran la explotación de las vulnerabilidades relacionadas con el factor humano, siguen siendo una de las superficies de exposición preferidas por los criminales. Lo que indica, a su vez, una deficiente formación de la población en materia de seguridad informática.
En segundo lugar, el éxito de ataques que hacen uso de EternalBlue, indica, en última instancia, la existencia de un parque de infraestructuras informáticas altamente desactualizadas. Un hecho que guarda relación directa con la dotación presupuestaria de las administraciones destinada a ciberseguridad.
Más información:
Fuente: Hispasec