XD

mayo 22, 2017

EternalRocks el sucesor del ransomware WannaCry

EternalRocks sucesor de WannaCry infecta 7 vulnerabilidades

La industria y el sector tecnológico aún no salen del asombro por los ataques con el ransomware WannaCry, el malware que afectó a más de 300,000 ordenadores en 150 países y causó varios millones en pérdidas, los sucesores no han parado de llegar.

Hace sólo algunos días comentamos sobre un malware que se aprovecha de las mismas vulnerabilidades que WannaCry para infectar, pero que en lugar de ejecutar un ransomware instala un minero de criptomonedas.

Sin embargo, la letalidad ha subido de nivel con un nuevo malware diseñado de manera similar a WannaCry, pero mucho más agresivo.

EternalRocks es un nuevo malware que se aprovecha de siete vulnerabilidades en los sistemas operativos Windows relacionadas con el módulo SMB (Server Message Block); WannaCry, hay que recordar, sólo utiliza dos vulnerabilidades para su diseminación: EternalBlue y DoublePulsar.

De estas siete vulnerabilidades, seis han sido utilizadas por la NSA para perpetrar ataques de ciberespionaje, y fueron filtradas o vendidas en el mercado negro por ShadowBrokers

Finalmente, el exploit DoublePulsar forma parte de las vulnerabilidades que EternalRocks usa para diseminarse.

Tan pronto el EternalRocks infecta al sistema, descarga las herramientas Tor y envía señales como receptor para recibir instrucciones de comando, pero hasta en un plazo de 24hrs.

Esta técnica de ataque retrasado, hace que los sistemas antivirus/antimalware sean incapaces de detectar una actividad sospechosa al momento de la infección.
A pesar de esto, un backdoor queda abierto al momento de la instalación de EternalRocks, permitiendo que otros hackers puedan instalar su propio malware.

Pasadas las 24hrs, los hackers de EternalRocks pueden ejecutar un ransomware, un troyano bancario o RAT ya que usa una gran variedad de exploits. De momento las muestras obtenidas por varios investigadores en seguridad han revelado que EternalRocks se encuentra aún en fase de desarrollo, aunque la amenaza es evidente.

Otro punto clave de EternalRocks, es que este no dispone de un killswitch como WannaCry. Esto quiere decir que tan pronto EternalRocks alcance sus fases finales de desarrollo, no habrá una forma simple de detener los ataques. Eso sí, Los usuarios de Windows pueden instalar las actualizaciones correspondientes al módulo SMB que previenen la infección con EternalBlue.

En cuanto a las seis vulnerabilidades utilizadas por la NSA son EternalBlue, EternalChampion, EternalSynergy y EternalRomance, pero también SMBTouch y ArchTouch que son herramientas precisamente diseñadas para espiar dentro de los ordenadores.

 

No hay comentarios.:

Publicar un comentario