La semana pasada circuló la noticia de que un nuevo malware llamado EternalRocks era aún "más poderoso" y dañino que WannaCryptor, el ransomware que tomó por sorpresa al mundo entero el viernes 12 de mayo.
El principal motivo para afirmarlo era que EternalRocks explota vulnerabilidades en Windows usando siete de las potentes herramientas de la NSA filtradas, mientras que WannaCryptor usa dos; por lo tanto, valía imaginar que su potencial impacto era más de tres veces el causado por WannaCryptor, que infectó a más de 300.000 víctimas en al menos 150 países.
Pero ahora que el nivel de pánico bajó, y para aclarar la situación, vamos a contarte por qué EternalRocks no es "el virus del Juicio Final" o "el gusano apocalíptico", como hemos leído en portales en inglés y español. De hecho, ni siquiera es un virus.
Estas son las tres diferencias principales entre EternalRocks y WannaCryptor.
#1 EternalRocks no es un ransomware
La principal característica que se ha dado a conocer es que tiene funcionalidades de gusano, lo que significa que puede replicarse y propagarse rápidamente dentro de una red una vez que infecta un equipo.
"Parece que capturé al gusano en fase de prueba. Tenía un gran potencial"
Las firmas con las que ESET detecta sus binarios varían. Algunas refieren a troyanos (MSIL/Agent.RUV, MSIL/Agent.AVH, MSIL/Agent.AUZ, MSIL/Agent.AWF, Win32/TrojanDownloader.VB.RCU); otras son genéricas y otras están limpias.
El hecho de que predominen las firmas del tipo "MSIL/Agent" podría indicar que, una vez que se infecta un equipo, la amenaza lo convierte en parte de una botnet. Su comportamiento avala esta hipótesis: se descarga, descomprime e instala, luego prepara al equipo para conectarse vía Tor y queda en espera de instrucciones.
EternalRocks fue inicialmente descubierto por Miroslav Stampar, del CERT de Croacia, quien afirmó que su actividad más temprana se remonta al 3 de mayo. En principio parecía ser alarmante y potencialmente más destructivo que WannaCryptor, porque no usaba dos sino siete exploits desarrollados por la NSA y filtrados por Shadow Brokers; se trataba de EternalBlue, DoublePulsar, EternalChampion, EternalRomance, EternalSynergy, ArchiTouch y SMBTouch.
La mayoría de las herramientas explotan vulnerabilidades en la tecnología estándar de intercambio de archivos utilizada por las computadoras, llamada Microsoft Windows Server Message Block. Este es el mismo vector que utilizó WannaCryptor para propagarse rápidamente sin ser notado.
Si bien Microsoft corrigió estas vulnerabilidades en marzo, en el boletín de seguridad MS17-010, muchas computadoras no actualizadas siguen en riesgo.
EternalRocks no muestra una pantalla de rescate ni exige un pago en bitcoins u otra divisa; tampoco cifra contenido del equipo, por lo que no es un ransomware, como sí lo es WannaCryptor.
#2 No despliega actividad maliciosa de inmediato
EternalRocks se queda 24 horas oculto en el sistema sin hacer nada, hasta recibir sus primeras instrucciones; en cambio, WannaCryptor (así como cualquier otro ransomware) comienza su rutina de cifrado y pedido de rescate ni bien logra infectar el equipo.
Cuando EternalRocks se infiltra en el equipo, descarga el navegador privado Tor desde un ejecutable y envía una señal a sus servidores; luego, espera. Cuando ya estuvo un día en el sistema, el servidor responde y comienza a descargar y replicar la amenaza. Desde Tor, se descarga otro ejecutable hacia un dominio .onion que descarga los exploits de la NSA, según explicó Miroslav Stampar.
Así, la amenaza busca pasar desapercibida más tiempo y retrasar el momento en que los investigadores comiencen a analizarla, porque comienza a ser detectable un día después.
Nuevamente, su comportamiento se asemeja al de un bot, que se infiltra y le avisa a su servidor de Comando y Control (C&C) que está listo para recibir instrucciones y convertir al equipo en parte de una botnet. De hecho, Miroslav Stampar lo llamó también "MicroBotMassiveNet".
#3 Podría aprovecharse de más exploits, pero eso no significa que sea una amenaza plenamente funcional
EternalRocks no llegó a propagarse de manera masiva ni tuvo un impacto remotamente similar al de WannaCryptor; al parecer, era una prueba de alguien que intentaba ver para qué podían utilizarse las herramientas de la NSA.
El pasado 25 de mayo, Miroslav Stampar actualizó su publicación en GitHub diciendo que el servidor de C&C ahora permite el registro en un foro que contiene dos mensajes. El primero, traducido al español pero respetando su gramática, dice:
"No es ransomware, no es peligroso, solo aprovecha los puertos de SMB y sigue adelante. Quería jugar un poco con ellos, considerando que tenía visitantes, pero las noticias fueron demasiado hacia el payload del gusano apocalíptico usado como arma eternal rocks. mucho que pensar... ps: los exploits de la nsa fueron divertidos, ¡gracias shadowbrokers!".
El segundo, bajo las mismas condiciones, dice:
"por cierto, todo lo que hice, fue usar las herramientas de la NSA para lo que fueron construidas, estaba averiguando cómo funcionan, y de repente tenía acceso, entonces qué hacer, estaba como ehh, solo voy a aprovecharme del puerto, gracias por jugar, tenga un buen día".
Stampar le dijo a Bleeping Computer: "Parece que capturé al gusano del autor en fase de prueba. Tenía un gran potencial. De todas formas, supongo que se asustó por todo este revuelo y dejó todo antes de ser culpado por algo que ni siquiera hizo".
Así que ya lo ves: EternalRocks no es el sucesor de WannaCryptor ni supone una amenaza de alcance tan masivo. Es solo una prueba más de que, tras la filtración de las herramientas de la NSA, seguirán apareciendo nuevos intentos de explotarlas, como el caso de los miners y el ransomware Adylkuzz que discutimos hace poco.
Algunos serán más poderosos que otros, algunos apenas serán pruebas de concepto, algunos lograrán su cometido y otros no. Lo importante es que tengas siempre tu sistema actualizado y parcheado, para evitar que los atacantes exploten vulnerabilidades en él, y que cuentes con una solución de seguridad correctamente configurada.