Una nueva variante de ransomware, denominada WantToCry, ha sido detectada apuntando a empresas mediante el abuso de servicios SMB expuestos en internet para el cifrado remoto de archivos, sin dejar malware local en los sistemas afectados. Este método representa un cambio importante en la operativa tradicional de ransomware, dificultando la detección y aumentando el riesgo para organizaciones que mantienen puertos SMB abiertos con credenciales débiles o comprometidas.
Productos afectados
| Componente | Plataformas/SO |
|---|---|
| Servicios SMB (puertos TCP 139 y 445) | Dispositivos con puertos SMB expuestos al internet (varios sistemas operativos) |
Solución
Bloquear tráfico SMB entrante en los puertos TCP 139 y 445 desde internet y deshabilitar el protocolo SMBv1.
Recomendaciones
Priorizar el cierre o el bloqueo del acceso a los servicios SMB desde redes no confiables; además, implementar sistemas de monitoreo que detecten operaciones inusuales de lectura/escritura en SMB y fortalecer las credenciales de acceso para prevenir ataques de fuerza bruta. Windows: Desactivar SMBv1 y restringir protocolos; Linux y otros: Configurar políticas de acceso restrictivas sobre SMB.