Tras los ciberataques que se han producido en las últimas semanas en todo el mundo, todas las noticias apuntan a que estamos muy lejos de volver a la calma. El virus WannaCry infectó miles de equipos a nivel mundial, llegando incluso a infectar el sistema del Servicio Nacional de Sanidad del Reino Unido.

En un primer momento, parecía que este ransonware iba a ser muy difícil de controlar. Sin embargo, la acción de un joven investigador en ciberseguridad consiguió frenarlo a las pocas horas de dar comienzo el ataque. Pero, en cuestión de horas, la segunda oleada provocada por una serie de variantes de WannaCry, volvió a poner en jaque a los responsables de ciberseguridad de todo el mundo.

Cuando se produjo el ataque, salió a la luz una información que aseguraba que WannaCry hacía uso de una herramienta creada por la NSA estadounidense. Esta herramienta fue filtrada por hackers y utilizada para crear el ransonware más devastador que se ha conocido hasta ahora.

Un malware más potente y sigiloso que WannaCry

Pero parece que WannaCry no es el único virus que hace uso de las herramientas filtradas de la NSA. Hace unos días, Miroslav Stampar, un experto de seguridad en el CERT de Croacia, informó en su cuenta de Twitter del hallazgo de un nuevo malware más potente y difícil de detectar que Wanna Cry.
Tras la información aportada por Stampar, fueron muchos los expertos que le dieron la razón. Este nuevo malware hace también uso de algunos de los exploits que se filtraron de la NSA y, además, tiene la particularidad de ser más sigiloso y difícil de eliminar.

Este nuevo virus ha sido bautizado con el nombre de EternalRock y exactamente usa 7 exploits de la NSA. Concretamente, EternalBlue, DoublePulsar, EternalChampion, EternalRomance, EternalSynergy, ArchiTouch y SMBTouch. Su funcionamiento es aparentemente sencillo, con SMBTouch y ArchTouch entra en los equipos y se esparce gracias a DoublePulsar.

Otra de las diferencias que EternalRock guarda con WannaCry es que este último avisaba de la infección con la famosas pantallas que vimos durante el primer ataque, en las que pedían el pago de una cantidad de dinero. Este nuevo malware permanece oculto e inactivo en un primer momento, mientras se produce el ataque en dos partes.

Difícil de detectar y frenar

En primer lugar, infecta el equipo, descarga el navegador Tor y toma contacto con los ocultos del gusano. Pasadas 24 horas, los servidores ocultos responden y es en ese momento es cuando es posible detectarlo. Esta manera de actuar le permite obtener una ventaja con respecto a los equipos de ciberseguridad de al menos un día.
Esta manera de actuar tan sigilosa puede provocar, según los expertos, una activación masiva del virus en cualquier momento, ya que actualmente puede encontrarse de manera latente en un sinfín de equipos.

De momento no se sabe cuántos ordenadores pueden estar infectados por EternalRock, ni si será activado o no. De producirse una activación masiva será muy difícil frenarlo ya que, a diferencia de WannaCry, este nuevo virus no tiene aparentemente un kill-switch, una especie de interruptor de apagado desde el código, con el que frenarlo.

Mas info:
https://threatpost.com/eternalrocks-worm-spreads-seven-nsa-smb-exploits/125825/