Parece que los días tranquilos aún vayan a tardar en llegar para los equipos de ciberseguridad de todo el planeta. Tras los incidentes provocados por el ransomware "WannaCry" en empresas, hospitales y organizaciones de todo el mundo, ahora se confirma la existencia de un nuevo malware más potente y difícil de detectar llamado EternalRock.
La voz de alarma la daba Miroslav Stampar (un experto de seguridad en el CERT de Croacia) en su cuenta de Twitter, en la que iba explicando sus hallazgos y las particularidades de este malware, y posteriormente otros expertos fueron confirmándolo. De nuevo se trata de un malware que usa algunos de los exploits que se filtraron de la NSA, pero no sólo dos como "WannaCry" y además tiene la particularidad de ser más sigiloso y difícil de eliminar.
this is HUGE. Ready to be used Architouch, Doublepulsar, Eternalblue, Eternalchampion, Eternalromance, Eternalsynergy, Smbtouch included !!!
— Miroslav Stampar (@stamparm) 18 de mayo de 2017
Entrando sin avisar y dando señales tras un día
El nombre transmite bastante bien que se trata de un enemigo duro de roer, de hecho la intención fue bautizarlo como "Doomsday Worm" (gusano apocalíptico), en un principio, según cuentan en IBTimes. Tal y como explicaba Stampar, "EternalRocks" usa siete de los exploits de la NSA filtrados por Shadow Brokers (concretamente EternalBlue, DoublePulsar, EternalChampion, EternalRomance, EternalSynergy, ArchiTouch y SMBTouch) el pasado mes de abril, con las cuales entra en los equipos, los espía (con SMBTouch y ArchTouch) y se esparce (con DoublePulsar, la cual también usa "WannaCry").
Además del número de exploits, la diferencia con "WannaCry" es que éste avisaba de la infección a los usuarios (con aquellas pantallas que vimos en el incidente de Telefónica y en el resto de casos), mientras que "EternalRock" permanece oculto e inactivo en un primer momento. El ataque ocurre en dos fases:
- Infección, descarga del navegador Tor y contacto con los ocultos del gusano.
- 24 horas después: los servidores ocultos responden, y es ahí cuando ya es detectable. Por ello saca una ventaja mínima de un día a los equipos de ciberseguridad.
p.s. there is no ransomware here. After delayed (it seems 24h) download and self replicating worm pic.twitter.com/p9OfEpmv4N
— Miroslav Stampar (@stamparm) 18 de mayo de 2017
Esto aún no se ha terminado, acaba de empezar
Esta manera de actuar a lo espora es lo que dificulta su detección, de ahí que Stampar y demás expertos adviertan de que puede haber una activación en cualquier momento para que deje de estar latente y activarse, pudiendo provocar un ataque masivo similar al que vimos con "WannaCry". De momento no se sabe con seguridad cuántos equipos están infectados por "EternalRock" ni si será activado o no (y cuándo).
Ya vimos que días después del ataque de "WannaCry" empezaban a detectarse variantes del original, y como éstas y la de hoy aún podría haber más consecuencias derivadas de los exploits filtrados de la NSA, como nos comentaba Josep Albors (Jefe de Investigación y Concienciación en ESET España). Veremos si "EternalRock" finalmente y cómo se puede parar, dado que lo que por ahora se sabe es que no contiene un kill-switch (algo así como un interruptor para pararlo en el código), como sí tenía "WannaCry".
En Xataka | Si WannaCry ha bloqueado tu PC, Wannakey y Wanakiwi podrían desbloquearlo sin pagar el rescate
Ver 35 comentarios