Parece que los días tranquilos aún vayan a tardar en llegar para los equipos de ciberseguridad de todo el planeta. Tras los incidentes provocados por el ransomware "WannaCry" en empresas, hospitales y organizaciones de todo el mundo, ahora se confirma la existencia de un nuevo malware más potente y difícil de detectar llamado EternalRock.
La voz de alarma la daba Miroslav Stampar (un experto de seguridad en el CERT de Croacia) en su cuenta de Twitter, en la que iba explicando sus hallazgos y las particularidades de este malware, y posteriormente otros expertos fueron confirmándolo. De nuevo se trata de un malware que usa algunos de los exploits que se filtraron de la NSA, pero no sólo dos como "WannaCry" y además tiene la particularidad de ser más sigiloso y difícil de eliminar.
this is HUGE. Ready to be used Architouch, Doublepulsar, Eternalblue, Eternalchampion, Eternalromance, Eternalsynergy, Smbtouch included !!!
— Miroslav Stampar (@stamparm) 18 de mayo de 2017
Entrando sin avisar y dando señales tras un día
El nombre transmite bastante bien que se trata de un enemigo duro de roer, de hecho la intención fue bautizarlo como "Doomsday Worm" (gusano apocalíptico), en un principio, según cuentan en IBTimes. Tal y como explicaba Stampar, "EternalRocks" usa siete de los exploits de la NSA filtrados por Shadow Brokers (concretamente EternalBlue, DoublePulsar, EternalChampion, EternalRomance, EternalSynergy, ArchiTouch y SMBTouch) el pasado mes de abril, con las cuales entra en los equipos, los espía (con SMBTouch y ArchTouch) y se esparce (con DoublePulsar, la cual también usa "WannaCry").
Además del número de exploits, la diferencia con "WannaCry" es que éste avisaba de la infección a los usuarios (con aquellas pantallas que vimos en el incidente de Telefónica y en el resto de casos), mientras que "EternalRock" permanece oculto e inactivo en un primer momento. El ataque ocurre en dos fases:
- Infección, descarga del navegador Tor y contacto con los ocultos del gusano.
- 24 horas después: los servidores ocultos responden, y es ahí cuando ya es detectable. Por ello saca una ventaja mínima de un día a los equipos de ciberseguridad.
p.s. there is no ransomware here. After delayed (it seems 24h) download and self replicating worm pic.twitter.com/p9OfEpmv4N
— Miroslav Stampar (@stamparm) 18 de mayo de 2017
Esto aún no se ha terminado, acaba de empezar
Esta manera de actuar a lo espora es lo que dificulta su detección, de ahí que Stampar y demás expertos adviertan de que puede haber una activación en cualquier momento para que deje de estar latente y activarse, pudiendo provocar un ataque masivo similar al que vimos con "WannaCry". De momento no se sabe con seguridad cuántos equipos están infectados por "EternalRock" ni si será activado o no (y cuándo).
Ya vimos que días después del ataque de "WannaCry" empezaban a detectarse variantes del original, y como éstas y la de hoy aún podría haber más consecuencias derivadas de los exploits filtrados de la NSA, como nos comentaba Josep Albors (Jefe de Investigación y Concienciación en ESET España). Veremos si "EternalRock" finalmente y cómo se puede parar, dado que lo que por ahora se sabe es que no contiene un kill-switch (algo así como un interruptor para pararlo en el código), como sí tenía "WannaCry".
En Xataka | Si WannaCry ha bloqueado tu PC, Wannakey y Wanakiwi podrían desbloquearlo sin pagar el rescate
Ver 35 comentarios
35 comentarios
Elaphe
¿Se trata de otro virus de los que llegan en adjuntos en correos electrónicos? Si es así, por mi parte no habrá mucho de lo que preocuparse. Otra cosa es que puedan infectar simplemente visitando una web o algo por el estilo. A ver si alguien aporta alguna información.
Miyamoto Gaming
Gracias obama
racalmatt
A ver ... , ¿que la NSA se aprovechó de los múltiples fallos? , mas bien diría yo que la NSA presionó a empresas como Windows para que se incluyesen esas puertas traseras...
luizja
Y a seguir alertas.
kinico
NSA excelentes maestros, bravo.
danielmendez1
Creo que ya se podria decir que la NSA en si es un virus.
tuadmin
Es el precio que pagar, al tener un internet veloz que descarga programas en unos segundos, un procesador, que hace los procesos virulentos en cuestion de minutos
vikingogenio
Podría el articulo mencionar en que sistemas operativos opera? es solo de Windows?
gustavoduran
A nivel corporativo los cortafuegos deberian bloquear el acceso a TOR, evitando males mayores a largo plazo. Además es recomendable hacerlo.
computerworlduk.com/tutorial/security/tor-enterprise-2016-blocking-malware-darknet-use-rogue-nodes-3633907/
Resumo para el que pase de leer el enlace: técnicamente es casi imposible bloquearlo, requiere de un seguimiento constante y, por tanto, recursos.
racalmatt
A ver... ¿que la NSA se aprovechó de los multiples fallos del sistema...?! , claro que sí... , pero tambien lo más seguro es que la misma NSA haya "presuntamente" (palabro muy de moda ultimamente) presionado a empresas como Windows para que incluyesen esas puertas traseras en sus códigos y así poder beneficiarse...
Ojo, además, algunos de los implicados, por activa o pasiva, podrian estar incurriendo en un delito de receptación.