El gusano EternalRocks, recientemente descubierto, no tiene interruptor de apagado y es altamente infeccioso. Explota las herramientas filtradas de la NSA y puede convertirse rápidamente en un arma con ransomware, troyanos bancarios o RAT.
Después de una serie de ataques de ransomware que causaron estragos en todo el mundo en los últimos 10 días gracias a WannaCry, apareció una nueva cepa de malware “ EternalRocks” fue identificado por el investigador de seguridad Miroslav Stampar. Fue descubierto por él el miércoles a partir de una muestra en su honeypot de Windows 7, cuando estaba infectado.
Su nombre original es “MicroBotMassiveNet” y Stampar lo ha llamado “DoomsDayWorm”. EternalRocks aparece como nombre de producto en las propiedades de Taskhost.
EternalRocks se propaga utilizando todos los exploits SMB en la filtración, incluido EternalBlue, utilizado por WannaCry en los ataques. EternalRocks no solo utiliza EternalBlue, sino que también utiliza EternalChampion, EternalRomance y EternalSynergy, así como ArchiTouch, SMBTouch y el exploit del kernel DoublePulsar.
EternalRocks es malware autorreplicante, incluye muchas más amenazas y Más atroz que WannaCry. Se propaga a través de varias vulnerabilidades SMB (Bloque de mensajes del servidor) y utiliza la herramienta NSA conocida como EtnernalBlue para propagarse de una computadora a otra a través de Windows.
Ver también: Cómo estar a salvo de WannaCry y otros ataques de ransomware
Algunas cosas importantes que uno debe saber sobre EternalRocks:
Un honeypot es un mecanismo de seguridad informática configurado para actuar como una trampa para atraer, detectar y desviar a los piratas informáticos que intentan hacer un uso no autorizado de los sistemas de información. Identifica actividades maliciosas realizadas en Internet al involucrar y engañar intencionalmente a ciberatacantes.
En qué se diferencia EternalRocks de ¿Quieres llorar?
Aunque EternalRo cks usa la misma ruta y debilidad para infectar sistemas habilitados para Windows, se dice que es mucho más peligroso, ya que supuestamente usa las siete herramientas de piratería en comparación con WannaCry, que se filtró de la NSA.
El malware WannaCry, con solo dos herramientas de la NSA, causó un desastre al afectar a 150 países y más de 240.000 máquinas en todo el mundo. Así que podemos imaginar lo que EternalRocks puede hacer al utilizar siete herramientas de la NSA.
La característica única de “DoomsDayWorm” es que espera silenciosamente durante un período de veinticuatro horas, antes de usar la puerta trasera para descargar archivos adicionales. malware del servidor de comando y control. A diferencia del ransomware WannaCry, cuya propagación se detuvo debido a un interruptor de apagado descubierto por un blogger de seguridad.
Durante la primera etapa, EternalRocks instala TOR como un canal de comunicaciones C&C (comando y control). La segunda etapa comienza después de que hayan pasado 24 horas cuando el servidor C&C responde con shadowbrokers.zip. Luego descomprime el archivo e inicia un análisis aleatorio en busca del puerto 445 SMB abierto de Internet.
¿Qué es TOR?
Software que cierra los ojos invisibles, como los que están en todas partes
TOR es un software que permite a los usuarios navegar por la web de forma anónima. TOR originalmente se llamaba The Onion Router, ya que utiliza una técnica llamada enrutamiento cebolla que se utiliza para ocultar información sobre la actividad del usuario. TOR hace que sea más difícil rastrear la actividad de Internet al separar la identificación y el enrutamiento, cifra los datos, incluida la dirección IP.
¿Qué es el canal de comunicaciones C&C (Comando y Control)?
Los servidores de comando y control, también llamados servidores C&C o C2, son computadoras utilizadas por los atacantes para mantener la comunicación con los sistemas comprometidos dentro de una red objetivo.
Las siete herramientas de la NSA filtrado por los ShadowBrokers utilizados por EternalRocks:
EternalBlue: exploit SMB1 y SMB2 utilizado para acceder a la red
EternalRomance: un exploit de servidor de archivos de red SMB1 remoto dirigido a Windows XP , Server 2003, Vista, Windows 7, Windows 8, Server 2008 y Server 2008 R2
EternalChampion: herramienta para explotar SMBv2
EternalSynergy: un exploit de ejecución remota de código contra SMB3 que potencialmente funciona contra sistemas operativos.
Las 4 herramientas anteriores están diseñadas para comprometer las computadoras Windows vulnerables.
SMBTouch — herramienta de reconocimiento de SMB
ArchTouch — herramienta de reconocimiento de SMB
Las 2 herramientas anteriores se utilizan para escanear para puertos SMB abiertos en la red pública.
DoublePulsar: se utiliza para instalar el ransomware
Ayuda a propagar el gusano de una computadora a otra a través de la misma red.
WannaCry ransomware no es el único malware que utiliza EternalBlue o la puerta trasera, el exploit DoublePulsar. Un minero de criptomonedas conocido como Adylkuzz está acuñando monedas virtuales en máquinas infectadas. Otro malware que se propaga a través de un vector de ataque similar se conoce como UIWIX.
Lo bueno
No hay informes sobre EternalRocks haber sido armado. No se reportan cargas útiles maliciosas, como ransomware.
La parte mala
Como los efectos de los parches SMB se aplican más adelante, las máquinas infectadas por EternalRocks Los gusanos se dejan accesibles de forma remota a través de la herramienta DOUBLEPULSAR NSA. La instalación del troyano de puerta trasera DOUBLEPULSAR dejada por EternalRocks siempre mantiene la puerta abierta para los piratas informáticos.
¿Qué hacer para estar a salvo de este tipo de ataques?
Bloquear el acceso externo a los puertos SMB en el público internet
- Parchear todas las vulnerabilidades de SMB
- Bloquear el acceso a los servidores C&C y bloquear el acceso a Torproject.org
- Supervisar cualquier tarea programada recién agregada
- Actualiza tu sistema operativo Windows
- Instala y actualiza tu antivirus
- Instala o activa el firewall del sistema para mantener una barrera entre los enlaces sospechosos y tu sistema
- Intenta evitar configuraciones obvias y contraseñas simples. Intente usar una combinación de alfabetos y números. Una combinación de letras mayúsculas y minúsculas también es un método más seguro.
No utilice versiones pirateadas de Windows; si tiene una, su sistema es más susceptible a la infección. Lo mejor es instalar y utilizar una versión original del sistema operativo Windows.
Leer: 0
