Pocas veces se tiene la oportunidad de resumir todo un mes de amenazas en una sola palabra: WannaCryptor. Esta nueva variante de ransomware causó estragos el día 12 de mayo, cuando empezó a propagarse en empresas de todo el mundo, demostrando que no se habían aplicado todas las políticas de seguridad necesarias.
Sin embargo, esta amenaza no es nueva. Desde los laboratorios de ESET España se ha informado ampliamente sobre otras campañas de propagación de ransomware anteriores, como la de los falsos emails de Correos o Endesa.
No obstante, WannaCrytor contaba con varias novedades: no hubo ningún correo propagando archivos o enlaces sospechosos ni se inició a partir de una web comprometida ni siquiera a través de campañas de malvertising en webs legítimas.
El procedimiento elegido por los ciberdelincuentes en esta ocasión se centraba en la utilización de uno de los exploits de la NSA filtrados a mediados de abril por el grupo The Shadow Brokers para conseguir infectar decenas de miles de ordenadores repartidos por todo el mundo.
El mencionado exploit (de nombre EternalBlue) hacía uso de una vulnerabilidad en la instalación del protocolo de red SMBv1 realizada por Microsoft hace casi 20 años y que había sido corregida a mediados de marzo. Sin embargo, empresas de todos los tamaños que no habían aplicado el parche fueron infectadas.
