EternalRocks el sucesor del ransomware WannaCry

EternalRocks sucesor de WannaCry infecta 7 vulnerabilidades

La industria y el sector tecnológico aún no salen del asombro por los ataques con el ransomware WannaCry, el malware que afectó a más de 300,000 ordenadores en 150 países y causó varios millones en pérdidas, los sucesores no han parado de llegar.

Hace sólo algunos días comentamos sobre un malware que se aprovecha de las mismas vulnerabilidades que WannaCry para infectar, pero que en lugar de ejecutar un ransomware instala un minero de criptomonedas.

Sin embargo, la letalidad ha subido de nivel con un nuevo malware diseñado de manera similar a WannaCry, pero mucho más agresivo.

EternalRocks es un nuevo malware que se aprovecha de siete vulnerabilidades en los sistemas operativos Windows relacionadas con el módulo SMB (Server Message Block); WannaCry, hay que recordar, sólo utiliza dos vulnerabilidades para su diseminación: EternalBlue y DoublePulsar.

De estas siete vulnerabilidades, seis han sido utilizadas por la NSA para perpetrar ataques de ciberespionaje, y fueron filtradas o vendidas en el mercado negro por ShadowBrokers

Finalmente, el exploit DoublePulsar forma parte de las vulnerabilidades que EternalRocks usa para diseminarse.

Tan pronto el EternalRocks infecta al sistema, descarga las herramientas Tor y envía señales como receptor para recibir instrucciones de comando, pero hasta en un plazo de 24hrs.

Esta técnica de ataque retrasado, hace que los sistemas antivirus/antimalware sean incapaces de detectar una actividad sospechosa al momento de la infección.

A pesar de esto, un backdoor queda abierto al momento de la instalación de EternalRocks, permitiendo que otros hackers puedan instalar su propio malware.

Pasadas las 24hrs, los hackers de EternalRocks pueden ejecutar un ransomware, un troyano bancario o RAT ya que usa una gran variedad de exploits. De momento las muestras obtenidas por varios investigadores en seguridad han revelado que EternalRocks se encuentra aún en fase de desarrollo, aunque la amenaza es evidente.

Otro punto clave de EternalRocks, es que este no dispone de un killswitch como WannaCry. Esto quiere decir que tan pronto EternalRocks alcance sus fases finales de desarrollo, no habrá una forma simple de detener los ataques. Eso sí, Los usuarios de Windows pueden instalar las actualizaciones correspondientes al módulo SMB que previenen la infección con EternalBlue.

En cuanto a las seis vulnerabilidades utilizadas por la NSA son EternalBlue, EternalChampion, EternalSynergy y EternalRomance, pero también SMBTouch y ArchTouch que son herramientas precisamente diseñadas para espiar dentro de los ordenadores.

 

Vinculan ciberataque del WannaCry a Norcorea

Norcorea considera ridículo ciberataque mundial

Norcorea. -Kim In Ryong, presidente de Corea del Norte, calificó de ridículas las acusaciones que buscan atribuirle la autoría del ciberataque con el ransomware WannaCry.

El funcionario enviado por Corea del Norte a la Organización de las Naciones Unidas (ONU), Kim In Ryong, calificó de ridículas las acusaciones que buscan atribuirle la autoría del ciberataque con el ransomware WannaCry, que afectó a 99 países del mundo la semana pasada.

De acuerdo a información de Reuters, el diplomático norcoreano sostuvo que la sola presunción de culpabilidad de Corea del Norte no debía ser tomar en serio. Además, señaló que las vinculaciones son parte de la presión global que se le está aplicando al régimen de Kim Jong-un.

La vinculación fue realizada el lunes por el investigador de Google, Neel Mehta, quien aseguró que el código del virus WannaCry es similar al de un intento de pirateo informático que Corea del Norte habría intentado.

Esta versión fue recogida por las empresas tecnológicas Symantec y Karspersky Lab, quienes fueron más específicos y señalaron al grupo de hackers Lazarus, vinculado al país asiático, de haber realizado el ciberataque.

En tanto, este viernes se anunció que uno de los miembros del panel de expertos que monitorean las violaciones a las sanciones impuestas, había sufrido un ciberataque.

Sin embargo, no se emitieron más explicaciones sobre el ataque ni quién tendría responsabilidad.

Agencias.

Asesor de Microsoft culpa a NSA por ataques del ransomware

Continúa la campaña de ataques con ransomware dijo el asesor de Microsoft

Desde el pasado viernes comenzaron los ataques masivos con ransomware, pero ya es la segunda oleada a gran escala dijo al Asesor General de Microsoft tras acusar al NSA.

Asimismo, el Vicepresidente Ejecutivo ha tomado esta oportunidad para resaltar y criticar duramente el papel de las agencias de inteligencia. Concretamente, el ejecutivo señala a la NSA como la responsable del mayor ataque de ransomware en la historia.

A pocas horas de haber iniciado el abismal ataque con WannaCryptor, se dio a conocer por múltiples investigadores en seguridad que el medio por el cual se estaba diseminando tan rápido este ransomware era un exploit en los sistemas operativos Windows.

Dicho exploit, conocido como ‘Eternal Blue’, confiere al permiso de administración y control remoto al atacante con los que logra infectar con el ransomware Wanna Cryptor.

Sin embargo, es de hacer notar que esta falla que afecta a los sistemas operativos Windows fue expuesta hace un par de meses en los archivos filtrados por TheShadowBrokers sobre la NSA, la agencia de seguridad nacional en Estados Unidos.

TheShadowBrokers es un grupo que en dos ocasiones expuso documentos de la NSA en los que se detallan algunas herramientas para uso de ciberespionaje. Estos hackers llevaban tiempo intentando vender las herramientas en la Dark Web, y decidieron dar algunas muestras como autenticidad, entre ellas la existencia de ‘Eternal Blue’.

 

 

Microsoft se apresuró a sacar parches de seguridad contra esta vulnerabilidad, aunque solo para los sistemas operativos a los que aún ofrece soporte.

Lo que es claro, es que no todos pudieron actualizar sus sistemas operativos y algunos, simplemente optaron por ignorar las actualizaciones.

Ahora Microsoft ha querido destacar la importancia de las actualizaciones, así como el papel importante que juego la NSA en el desarrollo de los recientes acontecimientos:

 

 

Este ataque es otro ejemplo de por qué el almacenamiento de vulnerabilidades por parte de los gobiernos es un problema.

Y este ataque reciente representa un vínculo completamente involuntario pero desconcertante entre las dos formas más graves de amenazas de ciberseguridad en el mundo actual: la acción del Estado-nación y la acción criminal organizada.

Microsoft ha trabajado duro estos años por mejorar la seguridad. La compañía cuenta con 3.500 ingenieros de seguridad, muchos de los cuales ahora son los primeros en responder en estos casos.

Aquí hay un problema de fondo.

El hecho de que muchos equipos permanecieran vulnerables dos meses después del lanzamiento de un parche ilustra este aspecto.

A medida que los cibercriminales se vuelven más sofisticados, simplemente no hay forma de que los clientes se protejan contra amenazas a menos que actualicen sus sistemas. De lo contrario, están literalmente luchando contra los problemas del presente con herramientas del pasado.

Los gobiernos del mundo deben tratar este ataque como una llamada de atención.

Ellos necesitan adoptar un enfoque diferente y adherirse al ciberespacio con las mismas reglas aplicadas a las armas en el mundo físico. Necesitamos que los gobiernos consideren los daños a los civiles que provienen de la acumulación de estas vulnerabilidades y el uso de estos exploits.

Expertos en seguridad han advertidos que hay cientos de miles de ordenadores aún vulnerables, pese a que existe ya una actualización para frenar estos ataques.

Lo que es peor, muchos advierten que en esta nueva ola podría modificarse el código del ransomware Wanna Crypt para que no incluya el killswitch que en un inicio redujo el número de ataques.

Concluyen que los documentos explican que la NSA utilizaba el ‘Eternal Blue’ para perpetrar espionaje doméstico en sus objetivos.

Instituciones del NHS fueron atacados por un ransomware

Un ciberataque daña varias redes de computadoras

Las instituciones del NHS fueron objeto de un ciberataque de gran alcance, lo que ha provocado que apaguen sus redes de computadoras.

Logran atacar al sistema nacional de salud británico por un tipo de ransomware; (es una versión de malware que bloquea el acceso a los computadores y codifica los datos del mismo).

También el ciber atacante exige dinero a cambio de devolver el control del sistema, así como hospitales y servicios de cirugía.

La situación habría obligado a los servicios de salud a pedirle a los pacientes que sólo se presentarán en los hospitales si el caso constituía una absoluta emergencia.

Para el final de la tarde del 12 de mayo, habían sido afectados 40 centros del NHS, lo cual indica que el ataque se ha extendido de una manera muy rápida.

Las computadoras afectadas muestran una pantalla donde se puede ver una imagen de un candado, y el aviso de que la víctima deberá depositar 300 dólares en bitcoins en una dirección que aparece al pie de la pantalla.

La firma de seguridad informática rusa Kaspersky reporta que ha registrado 45000 ataques en 74 países. Aunque no se sabe con certeza quién está detrás de los ataques, los indicios apuntan a que para llevarlo a cabo se utilizó una herramienta de ataque cibernético llamada “Ethernal Blue” que había sido filtrada de la Agencia Nacional de Seguridad de los Estados Unidos (NSA) por el grupo de hackers llamado Shadow Brokers.

Este ataque en el Reino Unido está vinculado con los ataques de ransomware recibidos por Telefónica en España en el que cientos de ordenadores terminaron siendo encriptados por WCry 2.0. Así mismo, cientos de empresas alrededor del mundo están reportando haber sido víctimas en lo que parece ser una de las campañas más grande de ataque con ransomware en los últimos años.

De acuerdo con el diario The New York Times asegura que el ataque afecta “docenas de países” incluyendo a los Estados Unidos, donde parece haber afectado al gigante de los servicios de encomiendas, FedEx.

El malware Wanna Cry infecta miles de empresas de 99 países

Malware infecto a miles de ordenadores en 99 países

Miles de ordenadores en cientos de empresas alrededor de 99 países fueron infectados por un malware del tipo ransomware, llamado Wanna Cry (WCry, WannaCryptor, o WannaDecryptor 2.0).

Esto ocurrió ayer 12 de mayo por la mañana, cuando se inició una campaña de difusión masiva, siendo una de las más aterradoras para los departamentos de IT alrededor del mundo.

El ataque comenzó por las alertas emitidos en la central de Telefónica en España, luego en Universidades Chinas, el Ministerio de Interior en Rusia y así, otras organizaciones se fueron sumando a lo largo del día.

En la mayoría de los casos, los usuarios de estas empresas no se vieron directamente afectados por los ataques.

Una de las organizaciones afectadas fue el Sistema Nacional de Salud Británico, cuyo ataque derivó en la inhabilitación de muchos centros asistenciales que operan con programas de citas médicas.

A consecuencia del malware muchos pacientes con citas previas no recibieron atención por falta de sus expedientes médicos y el orden de las citas.

Es aquí donde podemos observar en primera fila la relevancia que hoy en día tienen los sistemas de información, y cuánta importancia debemos darle a la seguridad de esos sistemas.

¿Cómo se infectaron tantas organizaciones por el Wanna Cry?

Es la segunda versión de un ransomware que vio la luz por primera vez en febrero de este año. Wanna Cry encripta los archivos de uso común en un ordenador.

Poniendo una clave para desencriptar los archivos, solicita en este caso un pago de US$ 300 en Bitcoins.

Según las investigaciones, se utilizó un exploit presente en Windows Vista, Windows 7 y Windows Server 200 llamado de ‘EternalBlue’.

Gracias a este exploit, los atacantes pueden ganar acceso remoto a los ordenadores objetivos vía el protocolo SMBv1.

El exploit fue dado a conocer gracias a las filtraciones de los documentos de la NSA por parte de WikiLeaks.

Al parecer esta agencia de inteligencia en Estados Unidos habría estado utilizando esta vulnerabilidad para perpetrar campañas de ciberespionaje.

Desde que EternalBlue fue dado a conocer, Microsoft tomó acciones para prevenir futuros ataques masivos como el ocurrido. Lanzó un parche bajo el nombre clave MS17-010, que corrige el problema de raíz. Al parecer muchas empresas optaron por ignorarlo y, sobre todo, ignorar la relevancia de los documentos que WikiLeaks expuso en Vault 7.

La instalación de Wanna Cry, no tiene mucha ciencia aplicada. El Ransomware se descarga de forma remota, se auto-extrae y auto-ejecuta el instalador. Luego descarga el cliente TOR para poder realizar sus comunicaciones a través de esta red anónima.

Wanna Cry analiza las bases principales de archivos del sistema y procede a encriptar los tipos de documentos y archivos principalmente utilizados en el sistema. Todo archivo encriptado es renombrado con la extensión. WNCRY.

En caso de que el usuario realice el pago, enviando el monto especificado a la dirección Bitcoin, deberá hacer clic en ‘Check Payment’.

El killswitch fue encontrado en el código de Wanna Cry por un investigador en seguridad informática que opera el MalwareTechBlog cuenta con el mismo.

Según cuenta él mismo, descubrió que cada vez que Wanna Cry comenzaba su infección chequeaba antes un dominio en Internet: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Este dominio no se encontraba registrado, así que MalwareTechBlog gastó £10 para hacerlo suyo y, sorpresivamente el proceso de encriptación que ejecuta Wanna Cry dejó de ejecutarse. Así pues, aunque el ransomware siga diseminándose, este no encriptará los archivos de sus víctimas. Pero hay que aclarar que aquellas empresas ya infectadas y en cuyas cuales se encriptaron sus archivos, nada cambiará.

De hecho, investigadores en seguridad advierten que esto solo ha contenido la infección de la versión 2.0 de Wanna Cry.

Nada evita que se esté escribiendo una nueva versión, con un killswitch distinto.

¿Debería pagar por Ransomware?

Esta pregunta la analizamos hace un tiempo con la conclusión de un estudio realizado por Kaspersky. En concreto, los datos del estudio de Kaspersky revelan que más del 36% de las empresas afectadas por Ransomware terminan pagando la demanda, pero solo hasta un 20% no reciben sus datos de vuelta.

Así pues, aparte de contribuir al crimen organizado pagando por el rescate, te estarías arriesgando a que estos criminales se queden con tu dinero y no recuperes tus archivos. Y cuando hablamos de varios cientos de dólares americanos, la verdad es que tomar ese riesgo no es una opción que parezca viable.

¿Cómo prevenir la infección?

Debemos tomar precauciones extra en caso de ser atacados nuevamente por un ciberataque, es necesario contactar nuevamente a las autoridades.

Hasta el momento, no hay una herramienta diseñada para desencriptar Wanna Cry 2.0, pero conectarse con las autoridades es sin duda un paso necesario, como en cualquier crimen.

La iniciativa NoMoreRansom esta soportada por Kaspersky, ESET, TrendMicro, Bitdefender, Intel, Amazon, Europol, y otra docena de organizaciones públicas y del sector privado.

Mantenerse alerta cuando llegue cualquier tipo de mensaje por medio del correo electrónico y tener mucha pericia al abrir documentos adjuntos.

Otra medida para combatir con facilidad los ataques de ransomware es mantener actualizados nuestros sistemas, sin importar si sean Windows o MacOS.

Wanna Cry ha realizado un exploit que Microsoft ya lanzó como parche hace unos meses. No incluyen en el parche a Windows XP y Windows 8;

Los parches son para las siguientes versiones: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64