WannaCry ha
basado su mecanismo de propagación en un exploit usado en el pasado por
National Security Agency (NSA) que ha sido revelado por el grupo Shadow
Brokers en un capítulo de Wikileaks – Vault7.
El exploit ha llegado ya a ser famoso, usando una vulnerabilidad en el servicio
de uso compartido de ficheros a través de la red local – Server Message Block
(SMB). Creo oportuno decir que este exploit ha sido presentado junto con otros
similares, aprovechando la misma vulnerabilidad, que permite ejecución remota
de código sin la intervención del usuario del sistema, y ha dado lugar a lo
peor que era por esperar: en el mundo subterráneo de intercambio de exploits y
código maligno han empezado aparecer varias piezas de malware aprovechándose de
las “herramientas” reveladas por Shadow Brokers:
- WannaCry
ha sido un primer ejemplo, bastante vistoso, bastante molesto, porque la
codicia ha mandado a la propagación bastante descontrolada de un ransomware que
ha hecho muchas víctimas, pero no ha destacado por su recaudación, siendo
lanzado probablemente con mucha prisa.
- Uiwix
es un ransomware más discreto, que usa el mismo exploit EternalBlue para
propagarse en la red, pero permanece en la memoria. Aparte de esto, es un
ransomware clásico que encripta ficheros y pide rescate. Apareció poco después
de WannaCry y ha conocido una propagación moderada.
- Adylkuzz
es otro tipo de malware, anterior a WannaCry, que utiliza el mismo exploit
EternalBlue. Adylkuzz contiene un buscador de cryptocurrency y, aspecto
anecdótico, está cerrando el puerto 445 para asegurar su lugar en el sistema,
contribuyendo de esta manera a la ralentización de la propagación de WannaCry.
- Pero el más
avanzado de la manada, y el que nos ha determinado preparar esta información,
es EternalRocks, que me atrevería considerar un ciber-arma. EternalRocks
puede aprovechar toda la serie de herramientas de NSA revelados por Shadow
Brokers: EternalBlue, EternalChampion, EternalRomance, EternalSynergy,
DoublePulsar, ArchiTouch y SMBTouch, todas aprovechándose de la misma
vulnerabilidad de SMB v1. EternalRocks puede ser un ciber-arma por su construcción
y comportamiento. Aparte de la complejidad, es el único malware que tiene una
preocupación de alto nivel para permanecer oculto: descarga Tor para comunicar
de manera encriptada con sus “masters”, se queda “dormido” 24h y luego empieza
a comunicar con el servidor y replicarse (incluido se auto-denomina como
WannaCry para engañar las detecciones). Es destacable que está bajando toda la
gama de los 7 exploits para poder infectar otros sistemas de la red usando el
mismo port 445, pero su comportamiento de arma reside en su payload – baja un
troyano tipo backdoor que se queda en el sistema y espera comandos. Los
sistemas infectados con EternalRocks se pueden transformar en cualquier cosa,
lo peor puede ser que se consoliden en una red de zombies para lanzar ataques
de cualquier tipo.
Con la publicación de las “herramientas” de NSA ha
ocurrido algo que he anticipado, temido y divulgado en su debido tiempo: era
solo questión de tiempo para que el ciber-crimen organizado aproveche estos
exploits para ganar dinero y lanzar nuevos y nuevos ataques. Y es probablemente
solo el inicio, porque otro fenómeno que da mucho por pensar es el anuncio de
ShadowBrokers de un próximo lanzamiento de su plataforma de
Exploit-as-a-Service donde, a base de suscripción, se puede tener acceso a
otras “herramientas” de este tipo y a versiones actualizadas o derivadas de
ellas.
No me gusta ser pesimista, tampoco alarmista, porque
creo que vivimos tiempos interesantes, batallas bonitas, ataques destacables y
contra-ataques igual de destacables.
¡Hasta la próxima, stay safe!