EternalRocks, el gusano peor que WannaCry que usa 7 exploits de la NSA
WannaCry ha sido la peor amenaza de seguridad que ha ocurrido prácticamente en la historia de la informática. Este ransomware se ha distribuido masivamente infectando miles de ordenadores gracias a un gusano que utilizaba dos exploits de la NSA para aprovecharse de una serie de vulnerabilidades en Windows y varios protocolos de red. Sin embargo, aún estamos lejos de sentirnos seguros, y es que acaba de aparecer EternalRocks, un nuevo gusano mucho más peligroso que puede poner en peligro nuestra seguridad utilizando hasta 7 exploits diferentes de la NSA.
Este nuevo gusano ha recibido el nombre de «EternalRocks», y ya fue detectado por primera vez hace varios días al infectar un punto de acceso a través del protocolo SMB. Este nuevo gusano utiliza un total de 6 herramientas, o exploits, de la NSA diseñados para explotar una serie de fallos en el protocolo SMB y lograr infectar a cualquier ordenador conectado a Internet:
- EternalBlue
- EternalChampion
- EternalRomance
- EternalSynergy
- SMBTouch
- ArchiTouch
Además de estas herramientas, este gusano también implementa «DoublePulsar», un exploit utilizado para propagarse entre otros ordenadores potencialmente vulnerables. Para hacernos una idea, el gusano WannaCry, utilizando tan solo los exploits EternalBlue y DoublePulsar logró infectar más de 300.000 ordenadores en todo el mundo sin mayor dificultad.
Pese al potencial de este gusano, de momento no es peligroso, aunque eso no significa que no debamos preocuparnos de él, ya que aunque no cuenta con un malware (como el ransomware de WannaCry) que pueda suponer un peligro real, eso no quita que no pueda incluirlo en los próximos días. Este gusano funciona y es capaz de infectar ordenadores con una facilidad tremenda, sin embargo, por el momento no sirve para nada al no tener un malware adjunto, aunque no debemos bajar la guardia.
Cómo funciona EternalRocks
Cuando este gusano infecta un sistema, automáticamente establece una conexión a través de la red Tor y envía por ella un identificador al servidor de control remoto. El servidor espera 24 horas, para no levantar sospechas, y envía de vuelta una respuesta, dando comienzo la infección.
Este gusano utiliza varios archivos idénticos a los de WannaCry, incluso con el mismo nombre, por lo que, en parte, el código fuente puede ser el mismo, o muy similar. Sin embargo, corrige una de las mayores debilidades de su predecesor, y es que EternalRocks no tiene un interruptor que permita detenerlo de forma remota.
Cuando EternalRocks se pone en contacto con el servidor, descarga un paquete comprimido de este, el cual ya sí incluiría el malware, y lo instala en el servidor.
Cómo protegernos de EternalRocks
Aunque como hemos visto, de momento, no es una amenaza muy grave al no incluir un malware junto a él, su potencial es inmenso, muy superior al de WannaCry y puede ser capaz de causar daños muy graves tanto de cara a usuarios como a empresas.
Por ello, si queremos evitar que este gusano pueda tomar el control de nuestro ordenador, es recomendable configurar nuestro equipo para que no pueda establecer conexiones a través de la red Tor, mantener nuestro sistema operativo totalmente actualizado y, además, utilizar la herramienta NSA Cyber Weapons Defense Tool que nos permitirá parchear todas las vulnerabilidades de la NSA que, además, están siendo utilizadas por los piratas informáticos en este tipo de gusanos.
¿Qué opinas de EternalRocks? ¿Crees que el ataque masivo de WannaCry no es nada con lo que se nos viene encima?