El 12 de mayo, la familia de ransomware WannaCryptor (WannaCry) infectó miles de equipos en todo el mundo. En tan solo 24 horas, el número de infecciones creció hasta los 185 000 equipos en más de cien países.
El ataque es particularmente peligroso para las empresas, ya que basta con que un solo empleado se infecte para que el ataque se propague por toda la red, y a veces incluso de un país a otro a través de las sucursales, sin ninguna interacción por parte de los usuarios. Esto sucede porque el ransomware tiene un componente de gusano que aprovecha una vulnerabilidad descubierta recientemente, que afecta a una amplia gama de sistemas operativos de Windows, incluyendo 2008, 2008 R2, 7 y 7 SP1.
Los ataques han causado grandes perjuicios en hospitales, empresas de telecomunicaciones e instalaciones de gas y otros servicios públicos. Entre las organizaciones que se han visto afectadas en mayor medida se encuentra el Servicio Nacional de Salud (NHS) del Reino Unido, por citar solo un ejemplo.
El ransomware tradicional sigue siendo una de las amenazas más comunes para pequeñas y grandes empresas de todo el mundo. Aunque se propaga normalmente a través de archivos maliciosos adjuntos a mensajes de correo electrónico, navegadores o exploits de terceros, el ataque de WannaCry recurrió al aprovechamiento automatizado de una vulnerabilidad presente en la mayoría de las versiones de Windows.
¿Qué lo hace tan peligroso? El hecho de que permite a un atacante ejecutar código a distancia en el equipo vulnerable y utilizar ese código para instalar ese ransomware sin intervención humana local. Este comportamiento nunca visto hasta ahora lo convierte en la herramienta perfecta para atacar entornos o infraestructuras concretas, como por ejemplo servidores que ejecuten una versión vulnerable del Server Message Block (SMB).
Nuestras tecnologías de introspección de memoria y de aprendizaje de última generación garantizan que nuestros clientes siempre han estado a salvo de WannaCry, el ransomware más agresivo del mundo, y ADEMÁS que estarán igualmente protegidos frente al próximo ataque de este tipo.
Los clientes que utilizan Bitdefender GravityZone y Bitdefender Hypervisor Introspection están protegidos desde el primer momento contra esta oleada de ataque y no se ven afectados por esta nueva familia de ransomware, ya que nuestros productos detectan e interceptan tanto el mecanismo de difusión como todas las variantes del ransomware WannaCry conocidas hasta la fecha.
Los modelos de Machine Learning empleados por Bitdefender, disponibles en todas las soluciones Bitdefender GravityZone, han sido diseñadas específicamente para detectar y parar el malware desconocido en la fase de pre-ejecución.
En el caso concreto de esta oleada de ataque, un modelo de Machine Learning en el endpoint, desarrollado por los laboratorios de Bitdefender en 2013, es capaz de detectar y bloquear esta variante de ransomware.
Además, la revolucionaria tecnología Hypervisor Introspection de Bitdefender, única en el sector de la seguridad, es capaz de proteger a los servidores virtuales frente al mecanismo de entrada de estos ataques (la técnica de exploit MS17-010, también conocida como EternalBlue).
Lo que es más importante, Hypervisor Introspection de Bitdefender fue capaz de prevenir el aprovechamiento de la vulnerabilidad mucho antes de que esta se diera a conocer y Microsoft lanzara un parche para ella.
He aquí una demostración de cómo Hypervisor Introspection derrota a EternalBlue