Tras los ciberataques que se han producido en las ltimas semanas en todo el mundo, todas las noticias apuntan a que estamos muy lejos de volver a la calma. El virus WannaCry infect miles de equipos a nivel mundial, llegando incluso a infectar el sistema del Servicio Nacional de Sanidad del Reino Unido.

En un primer momento, pareca que este ransonware iba a ser muy difcil de controlar. Sin embargo, la accin de un joven investigador en ciberseguridad consigui frenarlo a las pocas horas de dar comienzo el ataque. Pero, en cuestin de horas, la segunda oleada provocada por una serie de variantes de WannaCry, volvi a poner en jaque a los responsables de ciberseguridad de todo el mundo.

Cuando se produjo el ataque, sali a la luz una informacin que aseguraba que WannaCry haca uso de una herramienta creada por la NSA estadounidense. Esta herramienta fue filtrada por hackers y utilizada para crear el ransonware ms devastador que se ha conocido hasta ahora.

Un malware ms potente y sigiloso que WannaCry

Pero parece que WannaCry no es el nico virus que hace uso de las herramientas filtradas de la NSA. Hace unos das, Miroslav Stampar, un experto de seguridad en el CERT de Croacia, inform en su cuenta de Twitter del hallazgo de un nuevo malware ms potente y difcil de detectar que Wanna Cry.
Tras la informacin aportada por Stampar, fueron muchos los expertos que le dieron la razn. Este nuevo malware hace tambin uso de algunos de los exploits que se filtraron de la NSA y, adems, tiene la particularidad de ser ms sigiloso y difcil de eliminar.

Este nuevo virus ha sido bautizado con el nombre de EternalRock y exactamente usa 7 exploits de la NSA. Concretamente, EternalBlue, DoublePulsar, EternalChampion, EternalRomance, EternalSynergy, ArchiTouch y SMBTouch. Su funcionamiento es aparentemente sencillo, con SMBTouch y ArchTouch entra en los equipos y se esparce gracias a DoublePulsar.

Otra de las diferencias que EternalRock guarda con WannaCry es que este ltimo avisaba de la infeccin con la famosas pantallas que vimos durante el primer ataque, en las que pedan el pago de una cantidad de dinero. Este nuevo malware permanece oculto e inactivo en un primer momento, mientras se produce el ataque en dos partes.

Difcil de detectar y frenar

En primer lugar, infecta el equipo, descarga el navegador Tor y toma contacto con los ocultos del gusano. Pasadas 24 horas, los servidores ocultos responden y es en ese momento es cuando es posible detectarlo. Esta manera de actuar le permite obtener una ventaja con respecto a los equipos de ciberseguridad de al menos un da.
Esta manera de actuar tan sigilosa puede provocar, segn los expertos, una activacin masiva del virus en cualquier momento, ya que actualmente puede encontrarse de manera latente en un sinfn de equipos.

De momento no se sabe cuntos ordenadores pueden estar infectados por EternalRock, ni si ser activado o no. De producirse una activacin masiva ser muy difcil frenarlo ya que, a diferencia de WannaCry, este nuevo virus no tiene aparentemente un kill-switch, una especie de interruptor de apagado desde el cdigo, con el que frenarlo.

Mas info:
https://threatpost.com/eternalrocks-worm-spreads-seven-nsa-smb-exploits/125825/