El caos provocado por WannaCry parece estar controlado, sin embargo sus vertientes son las que ahora empiezan a preocupar. Como sabemos, este ransomware nace del exploit 'EternalBlue' que fue publicado por 'The Shadow Brokers' como parte de las herramientas usadas por la NSA en tareas de espionaje y vigilancia masiva.
'EternalBlue' no sólo dio vida a WannaCry, sino también a 'NotPetya' y 'EternalRock', malware que usan aún más exploits de la NSA y son más potentes que WannaCry. Hoy, la firma de seguridad informática FireEye está dando a conocer que 'EternalBlue' está siendo utilizado nuevamente en un ataque ahora en contra de hoteles europeos, donde a través de las redes WiFi se están robando datos de los huéspedes.
'GameFish' de APT28
FireEye apunta a que este es obra del grupo de hackers APT28, también conocido como Fancy Bear, el cual está vinculado con los ataques a las elecciones presidenciales de los Estados Unidos. APT28 se trata de una organización de crackers que está relacionada con la inteligencia militar rusa.
Este nuevo malware bautizado como 'GameFish' se aprovecha de una vulnerabilidad de seguridad dentro del protocolo de red del Server Message Block (SMB) de Windows, el cual permite acceder a toda la red de una forma relativamente sencilla y sin llamar la atención.
El proceso de ataque comienza con una campaña de phishing dirigida a cadenas hoteleras, donde hasta el momento se ha detectado en siete países europeos y uno de Medio Oriente. El correo electrónico incluye el documento 'Hotel Reservation From.doc' el cual contiene un macros que al ejecutarse despliega e instala 'GameFish' en toda la red el hotel. El malware se abre camino y localiza los ordenadores responsables del control de las redes WiFi, y una vez en ellos se hace con el control de todo el tráfico que pasa a través de ellas, tanto internas como las destinadas a huéspedes.
Se cree que el objetivo de este malware es obtener información de huéspedes relacionados con el gobierno y empresas importantes, ya que con este control de redes es posible extraer las credenciales de cualquier persona. La ventaja (o desventaja) es que sólo pueden acceder a métodos de autenticación que tengan no activados los dos pasos, ya sea por SMS o por medio de otra aplicación o dispositivo, lo que hace que algunos datos aún permanezcan seguros.
Este ataque coincide en algunas cosas con 'DarkHotel', un malware similar que se desplegó en algunos hoteles el año pasado, pero que no se basaba en 'EternalBlue'. FireEye menciona que a pesar de las similitudes ambos ataques no están relacionados, ya que se encontró que 'DarkHotel' sólo atacó objetivos coreanos. Por otro lado, mientras que GameFish ha sido creado para recolectar contraseñas, DarkHotel se centraba en modificar actualizaciones de software.
Hasta el momento no hay manera sencilla de detener el avance de GameFish cuando ya está instalado, por lo que se recomienda evitar las redes WiFi gratuitas cuando sea posible, o al menos no acceder a contenido sensible a través de ellas.
Ver 5 comentarios