Lo más reciente acerca de WannaCry, UIWIX, EternalRocks y ShadowBrokers
El ransomware se ha ganado la atención mundial en el transcurso de las dos últimas semanas debido a las enormes dimensiones de WannaCry. Después de los ataques iniciales, han aparecido UIWIX, Adylkuzz y ahora EternalRocks, que han entrado en escena aprovechando el mismo núcleo de vulnerabilidades.
El hilo común entre las tres amenazas es MS17-010, junto con otras herramientas y vulnerabilidades lanzadas por Shadow Brokers. Estos ataques no sólo explotan vulnerabilidades en los sistemas, sino que también aprovechan las principales luchas a las que se enfrentan todas las organizaciones con la administración y gestión de parches y las actualizaciones del sistema. Trend Micro propone echar un vistazo al impacto y plantea que se considere por qué estas amenazas están ocurriendo.
El impacto
En el último recuento, WannaCry solo había infectado 230.000 usuarios en unos 150 países. Sin embargo, dada la enorme extensión y variedad de estos malwares, el pago hasta ahora ha sido de sólo 110.000 dólares. Esto demuestra que el mayor impacto no fue financiero, sino físico. Las organizaciones de algunas industras, incluida la sanitaria, se vieron obligadas a cerrar sus sistemas para detener la propagación del malware. Esto trae una amenaza digital al mundo físico y da impacto en el mundo real a estos ataques.
Sin embargo, EternalRocks no descarga ninguna carga maliciosa. A pesar de aprovechar cinco vulnerabilidades y dos herramientas de reconocimiento, no deja atrás ningún contenido malicioso. Aprovecha el exploit DoublePulsar que habilita una puerta trasera en el sistema infectado, probablemente para el uso posterior por parte de los agentes de la amenaza.
¿Por qué lo hacen?
Cuando los agentes de la amenaza entran en un sistema y no liberan una carga útil maliciosa, sacan el potencial de algo más que están dejando atrás a su vez. Es posible que los atacantes estén preparando la red para su uso futuro. También podría ser una maniobra de distracción, mientras se explotan otras vulnerabilidades cuando nadie las está vigilando.
Aparece EternalRocks para explotar vulnerabilidades adicionales de ShadowBroker
Trend Micro advierte de la existencia y el peligro de un nuevo malware llamado EternalRocks, que ha sido descubierto recientemente y utiliza no sólo EternalBlue y DoublePulsar -los dos exploits de la Agencia de Seguridad Nacional (NSA) filtrados por el grupo de hackers ShadowBrokers y utilizados por el famoso ransomware WannaCry -sino también otros cinco exploits y herramientas filtrados por el mismo grupo: EternalChampion, EternalRomance, EternalSynergy, ArchiTouch y SMBTouch. La mayoría de estos exploits se dirigen a MicrosoftServer Message Block(SMB), que gestiona el acceso compartido entre nodos en una red.
Descubierto por primera vez por Miroslav Stampar, un profesional de ciberseguridad que trabaja para el Computer Emergency Response Team (CERT) de Croacia, EternalRocks emplea un proceso de instalación en dos etapas después de infectar a su objetivo. Durante la primera etapa, el malware descarga TOR Client para utilizarlo como canal de comunicación, después de lo cual alcanzará el servidor de Comando y Control (C&C). Sorprendentemente este servidor C&C, no enviará una respuesta inmediata, y sólo lo hará después de 24 horas. Se está especulando que esta respuesta tardía ha sido diseñada para evitar y saltar las pruebas de sandbox y el análisis de seguridad. Una vez que el servidor C&C responda, enviará el componente principal taskhost.exe, liberará entonces un archivo zip llamado shadowbrokers.zip que contiene los exploits de la NSA. Una vez descomprimido, EternalRocks procederá a escanear la red para encontrar sistemas con los puertos 445 abiertos, que sirven como puerta de entrada para la infección del gusano. Algunas de las vulnerabilidades explotadas por EternalRocks fueron abordadas por la actualización MS17-010 publicada por Microsoft en marzo.
Una distinción entre WannaCry y EternalRocks es que este último no parece tener ninguna carga maliciosa hasta ahora. Sin embargo, su capacidad para propagarse rápidamente debido a su componente de gusano significa que los sistemas infectados con EternalRocks pueden sufrir consecuencias no deseadas si el malware llegara a convertirse en un arma.
EternalRocks también tiene una ventaja añadida sobre WannaCry, cuyo impacto fue mitigado por la existencia de un kill switch, una especie de interruptor de activación, que se activaba una vez que detecta que un dominio específico va a estar "vivo". EternalRocks no tiene tal kill switch incorporado en él, lo que hace cualquier ataque en el mundo real más difícil de frenar.
Conclusión
Si el desastre de WannaCry de la semana pasada no ha sido razón suficiente para que la gente y empresas hayan actualizado y corregido sus sistemas, se supone que la aparición de un malware potencialmente más peligroso debería acrecentar la urgencia por hacerlo. Dado que EternalRocks utiliza los mismos exploits empleados por WannaCry, tanto los administradores de sistemas como los usuarios individuales deben parchear sus sistemas inmediatamente, mientras EternalRocks aún carezca de cualquier tipo de carga útil maliciosa. En el caso de malware como WannaCry y EternalRocks, la prevención debe ser algo mucho más fácil que el hecho de encontrar una cura.