Madrid, 26 de mayo de 2017.-Bitdefender, proveedor de soluciones de seguridad innovadoras a nivel global y fabricante de seguridad avanzada que ha parado WannaCry desde el momento cero, e Ingecom, mayorista de valor añadido especializado en soluciones avanzadas de seguridad y ciberseguridad, consideran que su deber como actores en el mercado es presentar las evoluciones recientes del ataque de ransomware más conocido de la historia reciente.
WannaCry ha basado su mecanismo de propagación en un exploit usado en el pasado por la National Security Agency (NSA), revelado por el grupo Shadow Brokers en un capítulo de Wikileaks – Vault7. El exploit ha llegado ya a ser famoso, usando una vulnerabilidad en el servicio de uso compartido de ficheros a través de la red local – Server Message Block (SMB). Consideramos oportuno decir que este exploit ha sido presentado junto con otros similares, aprovechando la misma vulnerabilidad, permitiendo ejecución remota de código sin la intervención del usuario del sistema, que ha dado lugar al mundo subterráneo de intercambio de exploits y código maligno. Por esto, han empezado a aparecer varias piezas de malware aprovechándose de las “herramientas” reveladas por Shadow Brokers. Éstas son:
• WannaCry, el primer ejemplo, bastante vistoso, bastante molesto, porque la codicia ha provocado la propagación bastante descontrolada de un ransomware que ha dejado muchas víctimas. Eso sí, no ha destacado por su recaudación, siendo lanzado con mucha prisa.
• Uiwix, un ransomware más discreto, que usa el mismo exploit EternalBlue para propagarse en la red, pero que permanece en la memoria. Además de esto, es un ransomware clásico que encripta ficheros y pide rescate. Apareció poco después de WannaCry y ha tenido una propagación moderada.
• Adylkuzz, otro tipo de malware, anterior a WannaCry, que utiliza el mismo exploit, EternalBlue. Adylkuzz contiene un buscador de cryptocurrency y, paradójicamente, está cerrando el puerto 445 para asegurar su lugar en el sistema, contribuyendo de esta manera a la ralentización de la propagación de WannaCry.
• EternarlRocks, sin duda es más avanzado y el que nos ha determinado para preparar esta información, ya que nos atreveríamos a considerarlo como una ciberarma. EternalRocks puede coger toda la serie de herramientas de NSA reveladas por Shadow Brokers: EternalBlue, EternalChampion, EternalRomance, EternalSynergy, DoublePulsar, ArchiTouch y SMBTouch, aprovechándose de la misma vulnerabilidad de SMB v1. Lo consideramos una ciberarma por su construcción y comportamiento, además de la complejidad, pues es el único malware que tiene una preocupación de alto nivel para permanecer oculto: descarga Tor para comunicar de manera encriptada con sus “masters”, se queda “dormido” 24h y luego empieza a comunicar con el servidor y replicarse (incluido se auto-denomina como WannaCry para engañar las detecciones). Es destacable que está bajando toda la gama de los 7 exploits para poder infectar otros sistemas de la red usando el mismo port 445, pero su comportamiento de arma reside en su carga final, ya que baja un troyano tipo backdoor que se queda en el sistema y espera comandos. Los sistemas infectados con EternalRocks se pueden transformar en cualquier cosa, y lo peor es que puede consolidarse en una red de zombies para lanzar ataques de cualquier tipo.
“Con la publicación de las ‘herramientas’ de la NSA ha ocurrido algo que hemos anticipado, hemos temido y hemos divulgado a su debido tiempo: el cibercrimen organizado ha aprovechado estos exploits para ganar dinero y lanzar nuevos ataques. Y es probablemente solo el inicio, porque da por pensar que otro fenómeno que va a suceder es el lanzamiento por parte de ShadowBrokers de su plataforma de Exploit-as-a-Service donde, a base de suscripción, se puede tener acceso a otras ‘herramienta’ de este tipo”, ha asegurado Horatiu Bandoiu, Channel Marketing Manager en Bitdefender España.
Bitdefender ha sido uno de los pocos fabricantes que han sido capaces de proteger a sus usuarios contra WannaCry y contra toda esta serie de malware desde el primer momento con los productos base de toda su gama GravityZone. “Nuestras tecnologías de Machine Learning, perfeccionadas durante los últimos 7 años, han demostrado una vez más su eficiencia y nos alegramos de constatar que no hemos tenido ni un sólo caso de cliente con problemas. Esto nos da la confianza de que vamos por el buen camino, encabezando el I+D en las tecnologías de nueva generación basadas en collective threat intelligence en cloud, en machine learning e inteligencia artificial”, ha concluido Bandoiu.