Mientras la industria y el sector tecnológico aún no sale del asombro por los ataques con el ransomware WannaCry, uno que afectó a más de 300,000 ordenadores en 150 países y causó varios millones en pérdidas, los sucesores no han parado de llegar. Hace sólo algunos días comentamos sobre un malware que se aprovecha de las mismas vulnerabilidades que WannaCry para infectar, pero que en lugar de ejecutar un ransomware instala un minero de criptomonedas. Sin embargo, la letalidad a subido de nivel con un nuevo malware diseñado de manera similar a WannaCry pero mucho más agresivo.
EternalRocks es un nuevo malware que se aprovecha de siete vulnerabilidades en los sistemas operativos Windows relacionadas con el módulo SMB (Server Message Block); WannaCry, hay que recordar, sólo utiliza dos vulnerabilidades para su diseminación: EternalBlue y DoublePulsar. De estas siete vulnerabilidades, seis han sido utilizadas por la NSA para perpetrar ataques de ciberespionaje, y fueron filtradas o vendidas en el mercado negro por ShadowBrokers.
Las seis vulnerabilidades utilizadas por la NSA son EternalBlue, EternalChampion, EternalSynergy y EternalRomance, pero también SMBTouch y ArchTouch que son herramientas precisamente diseñadas para espiar dentro de los ordenadores. Finalmente, el exploit DoublePulsar forma parte de las vulnerabilidades que EternalRocks usa para diseminarse.
Somebody actually used complete Shadowbrokers dump (SMB part) and made a worm out of it. Uses WannaCry names (taskhost/svchost) to distract
— Miroslav Stampar (@stamparm) May 18, 2017
this is HUGE. Ready to be used Architouch, Doublepulsar, Eternalblue, Eternalchampion, Eternalromance, Eternalsynergy, Smbtouch included !!!
— Miroslav Stampar (@stamparm) May 18, 2017
Tan pronto el EternalRocks infecta al sistema, descarga las herramientas Tor y envía señales como receptor para recibir instrucciones de comando pero hasta en un plazo de 24hrs. Esta técnica de ataque retrasado, hace que los sistemas antivirus/antimalware sean incapaces de detectar una actividad sospechosa al momento de la infección. A pesar de esto, un backdoor queda abierto al momento de la instalación de EternalRocks, permitiendo que otros hackers puedan instalar su propio malware.
p.s. there is no ransomware here. After delayed (it seems 24h) download and self replicating worm pic.twitter.com/p9OfEpmv4N
— Miroslav Stampar (@stamparm) May 18, 2017
Pasadas las 24hrs, los hackers de EternalRocks pueden ejecutar un ransomware, un troyano bancario o RAT ya que usa una gran variedad de exploits. De momento las muestras obtenidas por varios investigadores en seguridad ha revelado que EternalRocks se encuentra aún en fase de desarrollo aunque la amenaza es evidente.
Otro punto clave de EternalRocks, es que este no dispone de un killswitch como WannaCry. Esto quiere decir que tan pronto EternalRocks alcance sus fases finales de desarrollo, no habrá una forma simple de detener los ataques. Eso sí, Los usuarios de Windows pueden instalar las actualizaciones correspondientes al módulo SMB que previenen la infección con EternalBlue.