Supongo, que varios de nosotros creíamos que al no tener más información/avances del gran ataque mundial que se presento hace unos días, o bien por el simple echo de pasar los días, todo estaba bajo control.
Sin embargo al día de hoy se ha confirmado la existencia de un nuevo malware más potente y difícil de detectar.
El simple nombre transmite bastante bien que se trata de un enemigo duro de roer y es que es llamado EternalRock. En un principio la intención fue bautizarlo como «Doomsday Worm» (gusano apocalíptico).
Un experto de seguridad en el CERT de Croacia (Miroslav Stampar) fue quien alarmo mediante su cuenta de Twitter acerca de este nuevo descubrimiento, en la que iba explicando sus hallazgos y las particularidades de este malware, y posteriormente otros expertos fueron confirmándolo. De nuevo se trata de un malware que al igual que «WannaCry» este usa algunos de los exploits que se filtraron de la NSA(pero no sólo son dos), y además tiene la particularidad de ser más sigiloso y difícil de eliminar.
«EternalRocks» usa siete de los exploits de la NSA(concretamente EternalBlue, DoublePulsar, EternalChampion, EternalRomance, EternalSynergy, ArchiTouch y SMBTouch) filtrados por Shadow Brokers el pasado mes de abril, con las cuales entra en los equipos, los espía (con SMBTouch y ArchTouch) y así es como finalmente se esparce (con DoublePulsar, la cual también usa «WannaCry»).
Otra de las diferencias con «WannaCry» además del número de exploits («WannaCry»solo usa 2 & «EternalRocks» usa 7) es que éste avisaba de la infección a los usuarios (con aquellas pantallas emergentes), mientras que «EternalRock» permanece oculto e inactivo en un primer momento. Ya que el ataque ocurre en dos fases:
- Infección, descarga del navegador Tor y contacto con los ocultos del gusano.
- 24 horas después: los servidores ocultos responden, y es ahí cuando ya es detectable. Por ello saca una ventaja mínima de un día a los equipos de ciberseguridad.
Esta manera en la que actúa, es lo que dificulta su detección; es por ello que Stampar y otros expertos advierten que puede haber una activación en cualquier momento para que deje de estar latente y activarse, así provocando un ataque similar o mayor al que vimos con «WannaCry».
Así como sucedió con el ataque de «WannaCry» , en e que días después comenzaban a detectarse variantes del original, y como éstas y la de hoy aún podría haber más consecuencias derivadas de los exploits filtrados de la NSA.
Afortunadamente no se sabe con seguridad cuántos equipos están infectados por «EternalRock» tampoco si será activado o no (y cuándo); sin embargo, si llegará a suceder ya veremos cómo es el intento en querer detener esto, ya que por ahora se sabe que este NO contiene un kill-switch (como un interruptor para frenar en el código), como sí tenía «WannaCry».
Artemio S
Daniel R
