1495593438_1024_2000.jpg

así es EternalRock, un nuevo malware que usa a

Parece que los días tranquilos aún vayan a tardar en asistir para los equipos de ciberseguridad de todo el planeta. Tras los incidentes provocados por el ransomware “WannaCry” en empresas, hospitales y organizaciones de todo el mundo, ahora se confirma la existencia de un nuevo malware más potente y difícil de detectar llamado EternalRock.

La voz de alerta la daba Miroslav Stampar (un diestro de seguridad en el CERT de Croacia) en su cuenta de Twitter, en la que iba explicando sus hallazgos y las particularidades de este malware, y seguidamente otros expertos fueron confirmándolo. De nuevo se negociación de un malware que usa algunos de los exploits que se filtraron de la NSA, pero no sólo dos como “WannaCry” y encima tiene la particularidad de ser más sigiloso y difícil de eliminar.

Entrando sin avisar y dando señales tras un día

El nombre transmite congruo acertadamente que se negociación de un enemigo duro de roer, de hecho la intención fue bautizarlo como “Doomsday Worm” (helminto apocalíptico), en un principio, según cuentan en IBTimes. Tal y como explicaba Stampar, “EternalRocks” usa siete de los exploits de la NSA filtrados por Shadow Brokers (concretamente EternalBlue, DoublePulsar, EternalChampion, EternalRomance, EternalSynergy, ArchiTouch y SMBTouch) el pasado mes de abril, con las cuales entra en los equipos, los informador (con SMBTouch y ArchTouch) y se esparce (con DoublePulsar, la cual todavía usa “WannaCry”).

Además del número de exploits, la diferencia con “WannaCry” es que éste avisaba de la infección a los usuarios (con aquellas pantallas que vimos en el incidente de Telefónica y en el resto de casos), mientras que “EternalRock” permanece oculto e inactivo en un primer momento. El ataque ocurre en dos fases:

  • Infección, descarga del navegador Tor y contacto con los ocultos del helminto.
  • 24 horas luego: los servidores ocultos responden, y es ahí cuando ya es detectable. Por ello costal una delantera mínima de un día a los equipos de ciberseguridad.

Esto aún no se ha terminado, acaba de iniciar

Esta forma de proceder a lo espora es lo que dificulta su detección, de ahí que Stampar y demás expertos adviertan de que puede activo una activación en cualquier momento para que deje de estar escondido y activarse, pudiendo provocar un ataque masivo similar al que vimos con “WannaCry”. De momento no se sabe con seguridad cuántos equipos están infectados por “EternalRock” ni si será activado o no (y cuándo).

Ya vimos que días luego del ataque de “WannaCry” empezaban a detectarse variantes del original, y como éstas y la de hoy aún podría activo más consecuencias derivadas de los exploits filtrados de la NSA, como nos comentaba Josep Albors (Jefe de Investigación y Concienciación en ESET España). Veremos si “EternalRock” finalmente y cómo se puede detener, cubo que lo que por ahora se sabe es que no contiene un kill-switch (poco así como un interruptor para pararlo en el código), como sí tenía “WannaCry”.

En Xataka | Si WannaCry ha bloqueado tu PC, Wannakey y Wanakiwi podrían desbloquearlo sin pagar el rescate


Source link

deja tu opinion

Seguinos

Tecnoblog en las redes sociales