A finales de mayo, fue descubierto un nuevo malware llamado EternalRocks, el cual no sólo utiliza EternalBlue y DoublePulsar, las dos vulnerabilidades de la agencia NSA filtradas por el grupo de hacking ShadowBrokers y utilizadas por el notorio ataque de ransomware WannaCry; sino también utiliza otras cinco vulnerabilidades y herramientas filtradas de manera similar por el mismo grupo: EternalChampion, EternalRomance, EternalSynergy, ArchiTouch y SMBTouch. La mayoría de estas herramientas tiene como objetivo el protocolo Microsoft Server Message Block (SMB), que se encarga de compartir accesos entre nodos en una red.
Este malware fue descubierto por Miroslav Stampar, un profesional de ciberseguridad que trabaja para el Equipo de Respuesta ante Emergencias Informáticas de Croacia (CERT). EternalRocks emplea un proceso e instalación de dos etapas después de infectar a su víctima. Durante la primera etapa, el malware descarga el cliente TOR que utilizará como canal de comunicación, para después contactar a su centro de Comando y Control (C&C). Sorprendentemente, el servidor C&C no responde de manera inmediata, y sólo lo hará después de 24 horas. Se especula que esta respuesta atrasada fue diseñada para evitar pruebas de sandbox y análisis de seguridad. Una vez que el servidor C&C responde, mandará el componente principal, taskhost.exe, que contiene las herramientas de la NSA. Una vez listas, EternalRocks procederá a buscar en internet sistemas con el puerto 445 abierto, el cual será la puerta de entrada para la infección. Algunas de las vulnerabilidades explotadas por EternalRocks fueron consideradas en la actualización MS17-010 lanzada por Microsoft en marzo pasado.
Una diferencia entre WannaCry y EternalRocks es que este último no parece tener una componente malicioso en este momento. Sin embargo, su habilidad de propagarse rápidamente significa que los sistemas infectados con EternalRocks pueden sufrir consecuencias no deseadas si el malware se usa como arma en un futuro.
EternalRocks también tiene una ventaja sobre WannaCry, cuyo impacto fue mitigado por la existencia de un kill switch que entró en vigor cuando un dominio fue activado. Mientras tanto, EternalRocks no tiene un kill switch, lo que haría un ataque mucho más difícil de frenar.
Conclusión:
Si el fiasco de la semana pasada de WannaCry no fue razón suficiente para actualizar y parchar sus sistemas, el surgimiento de este malware, potencialmente más peligroso, sí debería serlo. Dado que EternalRocks usa las mismas herramientas que WannaCry, tanto administradores de sistemas como usuarios individuales deben parchar sus sistemas inmediatamente mientras que EternalRocks no represente una amenaza real. En el caso de malware como WannaCry y EternalRocks, la prevención es mucho más fácil que encontrar una cura.
Soluciones de Trend Micro:
Trend Micro™ Deep Security™ and Vulnerability Protection provee parcheo virtual que protege endpoints de amenazas que abusan de vulnerabilidades no parchadas. OfficeScan Vulnerability Protection protege endpoints de amenazas conocidas y desconocidas, aún antes de la implementación de parches.
Trend Micro™ Deep Discovery™ detecta, realiza análisis a profundidad y responde de manera proactiva a ataques usando motores especializados y sandboxing personalizado a lo largo del ciclo de vida entero del ataque, detectando amenazas similares.