El WannaCry utiliza el EternalBlue exploit de la NSA para infectar otros sistemas Windows conectados en la misma red el malware implementa capacidades de red que le permiten propagarse rápidamente.
"La gravedad especial de esta campaña se debe a la explotación de la vulnerabilidad descrita en el boletín MS17-010 con EternalBlue / DoublePulsar, que puede infectar otros sistemas Windows conectados en la misma red que no se actualizan correctamente. La infección de una solo ordenadorpuede acabar comprometiendo toda la red corporativa ", segun la alerta de seguridad emitida por el CERT. El ransomware, es una variante de WannaCry, infecta la máquina cifrando todos sus archivos y, utilizando la vulnerabilidad mencionada en el párrafo anterior que permite la ejecución de comandos remotos a través de Samba (SMB) y se distribuye a otras máquinas Windows en esa misma red. "La puerta trasera DOUBLEPULSAR permite a los atacantes inyectarse y ejecutar código malicioso en un sistema de destino, se instala aprovechando el ETERNALBLUE, una vulnerabilidad SMBv1 (Server Message Block 1.0) que podría desencadenar un RCE en versiones anteriores de Windows (Windows XP a Server 2008 R2 ).
Al investigar la amenaza de seguridad investigador MalwareTech descubrió la presencia de un "Kill Switch" en el código fuente del malware que una vez activado se detendrá su difusión.
El experto descubrió que el malware comprueba la presencia de un dominio específico para iniciar el proceso de infección, entonces MalwareTech registró el dominio que hunde el código malicioso.
En este punto, algo cambió porque el atacante tomó su contramedida para desactivar el interruptor Kill.
El investigador de seguridad y analista de malware, Luciano Martins está advirtiendo de la presencia de una nueva variante del temido ransomware que no tiene Kill-Switch en su código.
Martins explica que es demasiado pronto para hablar de una versión de WannaCry 2.0, de todos modos los expertos creen que los actores de amenaza en la naturaleza podrían mejorar la amenaza.
Si una variante sin Kill Switch se utilizará en una nueva campaña, es bastante sencillo especular sobre una situación difícil de contener debido al gran número de sistemas sin parches.
Los próximos ataques son inevitables, simplemente puedes parchear las muestras existentes con un editor hexadecimal y seguirá propagándose. Veremos una serie de variantes de este ataque en las próximas semanas y meses, por lo que es importante para los anfitriones parche ". Matthew Hickey, un experto en seguridad y co-fundador de Hacker House dijo The Hacker News.
Cientos de miles de sistemas sin parches aún están expuestos en Internet y son vulnerables al ataque de ransomware de WannaCry. Este último ataque se basó exclusivamente en la explotación de SMB, pero un posible escenario de ataque futuro ve la amenaza de propagación a través de phishing o ataques de descarga.
"El gusano puede modificarse para difundir otras cargas no sólo Cry y podemos ver otras campañas de malware que se aprovechan de este éxito de muestras", añadió Hickey.
