Clicky

EternalRocks, mucho más peligroso que WannaCry

EternalRocks

Encontrado nuevo malware que utiliza 7 herramientas de hacking de la NSA, donde WannaCry utiliza 2

Un investigador de seguridad ha identificado una nueva variedad de malware que también se propaga explotando fallas en el protocolo de intercambio de archivos SMB de Windows, pero a diferencia de WannaCry Ransomware que usa sólo dos herramientas de hacking filtradas de la NSA, este tiene siete sploits.

La semana pasada se advirtió sobre varios grupos de hackers que explotan las herramientas de hacking de la NSA, pero casi todos usaban sólo dos herramientas: EternalBlue y DoublePulsar.

Ahora, Miroslav Stampar, un investigador de seguridad que creó la famosa herramienta 'sqlmap' y ahora miembro del Gobierno croata CERT, ha descubierto un nuevo gusano de red, llamado EternalRocks, que es más peligroso que WannaCry y no tiene interruptor para matarle.

A diferencia de WannaCry, EternalRocks parece estar diseñado para funcionar secretamente con el fin de garantizar que permanece indetectable en el sistema afectado.

Sin embargo, Stampar se enteró de EternalRocks después de infectar su honeypot SMB.

Los sploit de la NSA usados por EternalRocks, que Stampar llamó en Twitter "DoomsDayWorm", incluyen:

1. EternalBlue "” SMBv1 exploit tool
2. EternalRomance "” SMBv1 exploit tool
3. EternalChampion "” SMBv2 exploit tool
4. EternalSynergy "” SMBv3 exploit tool
5. SMBTouch "” SMB reconnaissance tool
6. ArchTouch "” SMB reconnaissance tool
7. DoublePulsar "” Backdoor Trojan

Como The Hacker News mencionó en artículos anteriores, SMBTouch y ArchTouch son herramientas de reconocimiento SMB, diseñadas para explorar puertos SMB abiertos en la Internet pública.

Mientras que EternalBlue, Eternal Champion, Eternal Synergy y EternalRomance son exploits SMB diseñados para comprometer equipos de Windows vulnerables.

Y, a continuación, DoublePulsar se utiliza para difundir el gusano de un equipo afectado a otros equipos vulnerables a través de la misma red.

Stampar encontró que EternalRocks se disfraza de WannaCry para engañar a los investigadores de seguridad, pero en lugar de usar sólo el ransomware, obtiene un control no autorizado en la computadora afectada para lanzar futuros ataques cibernéticos.

Así funciona el ataque EternalRocks

La instalación de EternalRocks tiene lugar en un proceso de dos etapas.

Durante la primera etapa, EternalRocks descarga el navegador web Tor en las computadoras afectadas, que se utiliza para conectarse a su servidor de comandos y control (C & C) ubicado en la red Tor en la Web oscura.

"Malware de primera etapa UpdateInstaller.exe (obtenido a través de la explotación remota con malware de segunda etapa) descarga los componentes necesarios de .NET (para etapas posteriores) TaskScheduler y SharpZLib de Internet, al dejar caer svchost.exe (ej ejemplo) y taskhost.exe)", dice Stampar.

De acuerdo con Stampar, la segunda etapa viene con un retraso de 24 horas en un intento de evitar las técnicas de sandboxing, por lo que la infección del gusano es indetectable.

Después de 24 horas, EternalRocks responde al servidor C & C con un archivo que contiene las siete vulnerabilidades de Windows SMB mencionadas anteriormente.

"El componente svchost.exe se utiliza para descargar, desempaquetar y ejecutar Tor desde archive.torproject.org junto con la comunicación C & C (ubgdgno5eswkhmpy.onion) solicitando instrucciones adicionales (por ejemplo, la instalación de nuevos componentes)", agrega Stampar.

A continuación se descargan al ordenador infectado todos los siete exploits de SMB. EternalRocks luego analiza Internet para puertos SMB abiertos para extenderse también a otros sistemas vulnerables.

अभी तो बहुत 'भसड़' होने वाली है!

[La traducción de arriba del hindi dice "Se supone que debes ser muy 'BSD!"]

Si estás siguiendo la cobertura de The Hacker News sobre WannaCry Ransomware y las filtraciones de Shadow Brokers, debes tener en cuenta el nuevo anuncio del colectivo de hackers de lanzar nuevos días cero y exploits para navegadores web, smartphones, routers y sistema operativo Windows, incluyendo Windows 10, a partir del próximo mes.

El acceso exclusivo a las próximas fugas de cero días y sploits se daría a los que compran la suscripción de su "Wine of Month Club". Sin embargo, Shadow Brokers aún no ha anunciado el precio de la suscripción.

Dado que los hackers y los atacantes patrocinados por el estado están actualmente esperando nuevos exploits de días cero, hay muy poco que puedas hacer para protegerse de los próximos ataques cibernéticos.

Jesus_Caceres