El ransomware WannaCry sin duda hizo honor a su clasificaciรณn de virus, extendiรฉndose por mรกs de 150 paรญses y dejando inutilizables los archivos de miles de vรญctimas. Pero quizรกs lo peor no ha pasado, porque el equipo del protocolo Samba, utilizado en sistemas operativos tipo UNIX (incluyendo Linux y Mac OS X) ha advertido sobre la existencia en este programa de la misma vulnerabilidad que fue aprovechada en Windows para esparcir el WannaCry. Paralelamente, el experto en ciberseguridad Miroslav Stampar descubriรณ un nuevo virus llamado EternalRocks, que es capaz de utilizar todos los exploits robados a la NSA.
Hasta la fecha, por fortuna, estos descubrimientos son sรณlo advertencias, pues al parecer los hackers aรบn no se han decidido a aprovecharlos a su favor. Samba es una implementaciรณn libre para sistema UNIX del protocolo de archivos compartidos de Windows (Server Message Block), el mismo que contenรญa la vulnerabilidad que permitiรณ la entrada al ransomware masivo. Segรบn expertos de la compaรฑรญa de ciberseguridad Rapid7, sรณlo se requieren 15 minutos para aprovechar la vulnerabilidad a fin de controlar el computador de manera remota, cambiando una sola lรญnea de cรณdigo, y mรกs de cien mil computadores se encuentran utilizando las versiones vulnerables de este software. La mayorรญa, al parecer, pertenecen a usuarios personales, pero algunos son de usuarios corporativos.
El equipo de Samba ha publicado un parche (actualizaciรณn) para este software, que todos los usuarios deberรญan aplicar a la prontitud para evitar posibles sorpresas. Si bien, aรบn hay muchos usuarios que utilizan versiones no soportadas de Samba, por lo que para ellos no estรก disponible este parche (tal como sucediรณ con las vรญctimas del WannaCry que utilizaban Windows XP). Para estos usuarios, se ha recomendado aรฑadir un parรกmetro nuevo en la configuraciรณn, aunque se les ha advertido que esto podrรญa deshabilitar ciertas funcionalidades.
Por otro lado, el EternalRocks se ha clasificado como mรกs potente que el WannaCry, dado que este รบltimo sรณlo utilizรณ dos de las ciberarmas filtradas de la NSA (DoublePulsar y EternalBlue), mientras que รฉl es capaz de utilizar, ademรกs de estos exploits, el EternalChampion, EternalRomance y EternalSinergy junto a los programas SMBTouch y ArchiTouch. Estos le permiten controlar el computador de manera remota y, si lo quisiera, instalar cualquier tipo de programa, inclusive ransomware.
Sin embargo, es mucho mรกs sigiloso que el WannaCry. Entra de forma inadvertida a un computador, descarga el navegador Tor para entrar en la Internet Profunda y ponerse en contacto con su servidor de comando y control, del cual no recibe respuesta sino 24 horas despuรฉs, que es cuando puede ser detectado por los sistemas de seguridad. Se ha tomado como una amenaza latente, pues hasta la fecha no se sabe cuรกntos computadores puedan estar infectados y no ha recibido ninguna instrucciรณn oscura por parte de su autor.
De hecho, quizรกs lo mรกs curioso del EternalRocks, segรบn indica Stampar en GitHub, sea el mensaje que el hacker ha dejado en el servidor de comando y control. En รฉl, empieza afirmando que no se trata de ransomware ni es peligroso, y que sรณlo estaba buscando probar los exploits de la NSA, pese a la alarma que este virus ha causado en los medios. Ademรกs, asegura que bloqueรณ la vulnerabilidad en los sistemas infectados.
No es ransomware, no es peligroso, sรณlo activa el Firewall al puerto SMB y sigue adelante (โฆ) Por cierto, todo lo que hice fue usar las herramientas de la NSA para lo que fueron creadas (ยฟespiar?), estaba averiguando cรณmo funcionaban, y lo siguiente que supe es que tenรญa acceso, asรญ que, ยฟquรฉ hacer entonces? Estaba como que ehh, sรณlo activarรฉ el Firewall para el puerto. Gracias por jugar, ten un buen dรญa.
Hacker tras el EternalRocks
Aunque al parecer no se trata de una amenaza directa, revela que las herramientas de la NSA, a estas alturas, se encuentran en manos de mรกs de un hacker, y que podrรญan ser utilizadas con cualquier fin en cualquier momento. Por ello, la idea de un mรกs potente y peligroso WannaCry u otro Adylkuzz no debe descartarse, especialmente cuando el grupo que filtrรณ las ciberarmas en primer lugar, los Shadow Brokers, han amenazado con publicar mรกs en junio. En este contexto, resulta esencial actualizar los sistemas operativos a la prontitud.
