Archivos de etiquetas: WannaCry

DHS (EEUU) urge por parchar vulnerabilidad de Windows: BlueKeep

La agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) del Departamento de Seguridad de la Patria (DHS) de Estados Unidos ha emitido una alerta pública acerca de una vulnerabilidad crítica. Han comunicado explícitamente “actualizar ahora”, sumándose así a la Agencia Nacional de Seguridad (NSA) y a Microsoft en advertir los peligros de la vulnerabilidad BlueKeep (CVE-2019-0708).

Expertos de seguridad pronostican que es sólo cuestión de tiempo, unas cuantas semanas para ser más explícitos, para que los cibercriminales utilicen esta vulnerabilidad como una arma, lo que clasificaría a BlueKeep como una bomba de tiempo cuyo impacto podrían ser similar al que tuvo en su momento el aún célebre WannaCry.

La alerta del CISA confirma este peligro, indicando además de que han determinado que Windows 2000 también es vulnerable a BlueKeep, lo que aumenta la superficie de ataque potencial de un exploit de esta vulnerabilidad.


Investigaciones revelan que poco menos de un millón de máquinas visibles a internet son vulnerables a BlueKeep en el puerto 3389, sirviendo de punto de entrada a cualquier gusano que pueda infectarlos e iniciar un movimiento lateral dentro de su red interna. 

Cabe mencionar que Microsoft ha publicado parches para BlueKeep inclusive para algunos de sus sistemas operativos fuera de soporte (EOL).

BlueKeep impacta los servicios de escritorio remoto en Windows y puede ser explotado al enviar paquetes específicos al objetivo. Es posible utilizarla en un contexto de malware tipo gusano.

El sitio oficial de Microsoft relacionado con esta vulnerabilidad es https://support.microsoft.com/es-cl/help/4500705/customer-guidance-for-cve-2019-0708

Fuentes:

https://www.forbes.com/sites/daveywinder/2019/06/18/u-s-government-announces-critical-warning-for-microsoft-windows-users/#2dd952652d29

https://www.securityweek.com/dhs-issues-alert-windows-bluekeep-vulnerability

https://www.zdnet.com/article/homeland-security-weve-tested-windows-bluekeep-attack-and-it-works-so-patch-now/

Actualización critica de Microsoft, alarmas de un nuevo WannaCry (CVE-2019-0708)

Hoy Microsoft liberó parches para una vulnerabilidad crítica de ejecución de código remoto, CVE-2019-0708, presente en Remote Desktop Services (antes conocida como Terminal Services) que afecta algunas versiones antiguas de Windows. El protocolo RDP en sí no es vulnerable. Esta vulnerabilidad es pre-autenticación y no requiere interacción del usuario. En otras palabras, la vulnerabilidad es “gusaneable”, lo que significa que cualquier malware a futuro que explote esta vulnerabilidad podría propagarse desde un equipo vulnerable a otro de forma similar a la en la que el malware WannaCry se esparció a través del mundo en 2017. Mientras tanto no se ha observado explotación de esta vulnerabilidad, es altamente posible que algunos ciberdelincuentes escriban un exploit para esta vulnerabilidad y la incorporen en su malware.
Es importante mencionar que recomendamos el parchado de los sistemas afectados a la brevedad de lo posible para prevenir que esta explotación suceda. Como respuesta, Microsoft está tomando la acción de entregar parches de seguridad para todos los clientes con tal de proteger las plataformas de Windows, incluyendo algunas versiones de Windows que se encuentran fuera de soporte.
Entre los sistemas vulnerables se encuentran Windows 7, Windows Server 2008 y 2008 R2. La descarga para versiones de Windows con soporte pueden ser encontradas en Microsoft Security Update Guide. Los clientes de estas versiones con soporte vigente también pueden beneficiarse de la actualización automática ya que este parche se encuentra en despliegue con este método también.
Las versiones de Windows fuera de soporte incluyen a Windows 2003 y Windows XP. Si es usuario de una versión fuera de soporte, el mejor método de mitigar esta vulnerabilidad es actualizar hacia una versión de Windows con soporte vigente. Aún así, Microsoft dispuso de parches disponibles para estas versiones en su KB4500705.
Existe una mitigación parcial en sistemas afectados que tienen habilitada la autenticación a nivel de red (NLA) . Los sistemas afectados son mitigados para evitar infecciones de malware “gusaneable” o malware avanzado que podría explotar esta vulnerabilidad, como NLA requiere autenticación antes de que la vulnerabilidad pueda ser explotada. De todas maneras, los sistemas afectados aún serían vulnerables a explotación por ejecución de código remoto (RCE) si es que el atacante tiene credenciales válidas que puedan ser utilizadas exitosamente.
Debido a lo anteriormente expuesto, se recomienda firmemente que este parche sea aplicado a la brevedad.
Fuentes:

Formjacking: Un lucrativo ataque en aumento

En el último informe sobre ciberamenazas publicado por Symantec (ISTR), existe una amenaza en crecimiento llamada “Formjacking”, la cual actualmente es una de las formas de ataque más lucrativas para los ciberdelincuentes debido al relativo bajo esfuerzo que conlleva realizar junto con el alto valor y demanda en el mercado negro del activo robado: tarjetas de crédito. Su nivel de expansión en amenazas ha reemplazado al ransomware como WannaCry o Petya/NotPetya (gracias en parte a la baja en la cotización de las criptomonedas, sobretodo el BitCoin), por lo que es necesario aumentar el foco en la prevensión y detección de este tipo de ataques.
Formjacking consiste en una analogía a lo que hoy conocemos como skimming, o robo de tarjetas bancarias en cajeros automáticos, sólo que es mucho más simple, directo, y seguro para los criminales. Aunque este tipo de ataques no es nuevo, su rápido crecimiento en el ultimo semestre motivo de alerta para las organizaciones que ofrecen pagos en sus sitios, o sea todo el e-commerce.
Opera de la siguiente manera: El atacante logra inyectar código JavaScript en la lógica del formulario de pago objetivo, una vez de que el cliente envíe la información de pago, este código malicioso recoge toda la información entregada para el pago, luego la envía al repositorio del atacante y a la vez al flujo original de pago. Con esto el pago se realiza pero los datos a la vez son recogidos por el atacante, para su posterior venta en el mercado negro y utilización en estafas. Los datos recogidos pueden contener: Nombre completo, dirección, teléfono, correo, banco, número de tarjeta, fecha de caducidad, código de seguridad, etc.
Aumento de campañas
La actividad de campañas de formjacking presenta un aumento exponencial desde finales de agosto de 2018, registrando un aumento de hasta 4 veces más bloqueos en comparación a la media de meses anteriores. En números esto es sobre 6.000 bloqueos diarios en promedio para sólo 1 proveedor de IPS.

Objetivos
Este ataque ya es conocido por grandes e-commerce como Ticketmaster, British Airways y Newegg (retailer de tecnología).
Una muestra de 1.000 instancias de bloqueo de este ataque, recogidas en una ventana de 3 dias, muestra como objetivos a 57 sitios web distintos, desde pequeños e-commerce hasta grandes negocios. Geográficamente abarca desde Japón hasta Latinoamérica, pasando por Australia y Europa.
Magecart
Es el grupo de cibercriminales que se encuentra detrás de los recientes ataques de formjacking hacia British Airways, Ticketmaster, Feedify y Newegg. Magecart se encuentra activo desde al menos el año 2015. Su operación implica la inyección de skimmers web en sitios para robar datos de pago junto con otra información sensible relacionada a los pagos via web.
Método de compromiso de sitios web
Aunque existen diversas formas de ejecución de este ataque, llama la atención el caso de Ticketmaster, en el cual los atacantes de Magecart utilizaron un ataque a la cadena de suministro para obtener acceso al sitio web y de esta forma manipular el código de su página de pagos.
Los ataques de cadena de suministro son aquellos en los que se obtiene acceso a grandes organizaciones al explotar debilidades en sus proveedores de menor tamaño.
El aumento en la cantidad de ataques de formjacking fue evidenciado luego del ataque a Ticketmaster, reportado en junio de 2018. Los atacantes de Magecart en un comienzo comprometieron un chatbot de Inbenta que estaba siendo utilizado para asistencia al cliente en los sitios de Ticketmaster. Luego Magecart pudo alterar el código JavaScript en el sitio de Ticketmaster para de esta forma capturar los datos de pago con tarjeta de sus clientes y posteriormente enviarlos a sus propios servidores. Este código malicioso pudo estar en el sitio web de Ticketmaster por casi un año, los afectados serían los clientes internacionales de Ticketmaster que realizaron compras entre septiembre de 2017 y septiembre de 2018. Inbenta indicó que Magecart explotó varias vulnerabilidades para apuntar a sus servidores de front-end y alterar el código del chatbot.
Siguiendo el caso de Ticketmaster se descubrió que Magecart ha estado atacando proveedores de sitios e-commerce, los que proveen analítica, soporte, plugins, entre otros. El reporte indica que al menos 800 sitios de e-commerce fueron atacados en esta campaña. El mayor peligro es que si Magecart puede comprometer un proveedor ampliamente usado, entonces podrían infectar potencialmente miles de sitios rápidamente.
Protección
A nivel de red, existen firmas de IPS para distintos fabricantes.
A nivel de archivos, existen firmas para el código “Infostealer”.
A nivel de aplicación, realizar pruebas controladas cuando un proveedor actualice un plugin que se utilice en e-commerce.
Monitorear la actividad del sistema por exfiltración de datos hacia destinos inusuales.
Monitorear cambios en el código del aplicativo.
Fuentes:

WannaMine, el nuevo modelo de ataque que desplaza progresivamente al ransomware

El año pasado estuvimos repletos de historias acerca de ataques ransomware, los cuales son bastante dolorosos.
Son rápidos, brutales y altamente perjudiciales, el ransomware difiera de otros ataques de malware que intentan mantener un bajo perfil y evitar la exposición.
Además el ransomware puede salir bastante caro de remediar, aún cuando tenga un proceso de respaldo y recuperación eficientes, es mas engorroso este proceso de que tan solo seguir trabajando normalmente.
De hecho, el ransomware puede ser aún mas caro, puede ser un desafío ético, forzándonos a tomar difíciles desiciones entre intentar reparar el problema o hacer un trato con los criminales con la esperanza de tener nuestro negocio funcionando libremente.
Pero hay un nuevo tipo de malware en el 2018: Cryptomining.
El malware de criptominado se trata cuando los delincuentes infectan sigilosamente su computador con un software que realiza cálculos que generan criptodivisas tales como Bitcion, Monero o Ethereum, así los delincuente se quedan con las criptodivisas generadas.
Esto lo realizan dado que para generar dinero con el “minado” de criptodivisas, necesitas mucha electricidad para entregar mucho poder de procesamiento a muchos computadores.
Entonces puedes arrendar espacio en un rack gigante de servidores, por ejemplo en Islandia, donde la electricidad es barata y el clima es lo suficientemente frío como para evitar que tus servidores se frían…
… o puedes robar la electricidad de otras personas, poder de procesamiento y aire acondicionado al utilizar malware que infiltre criptominadores en sus redes, sus navegadores, sus cafeterías, y más.
Cual es el daño
Si se infecta con un criptominador, todos sus datos seguirán ahi, y aún tendrá acceso a ellos, entonces el criptominado suena como un golpecito comparado con el ransomware.
Sin embargo, su computador probablemente se volverá enervantemente lento, los ventiladores de los portátiles rugirán todo el tiempo y la duración de la batería será nula.
En un dispositivo móvil, todos estos efectos secundarios son mucho mas graves, ya que el quedarse sin batería implica que se apagará rápido y el sobrecalentamiento asociado con el uso suer-pesado del procesador podría ocasionar un daño permanente.
Irónicamente, mucha información acerca del criptominado indica que no se sugiere minar en teléfonos móviles, el poder de procesamiento no es suficiente para resultados decentes, así el costo superaría a los beneficios. Claro que a los delincuentes detrás de este tipo de ataque no les importa.
¿Como protegerse?
Un software de prevención de exploits como Sophos Intercept X puede bloquear este tipo de ataques, al reconocer el comportamiento de este malware detecta el abuso de condiciones en el sistema operativo y lo bloquea.
Un sistema de antivirus y prevención de intrusos (Sophos Endpoint Protection) puede detener los procesos maliciosos que permiten que se ejecute el ataque, aún cuando los exploits que lo permiten se reinicie cada vez.
Un dispositivo de seguridad en la red como el Firewall XG de Sophos puede bloquear el tráfico de red que un malware criptominador requiere para funcionar.
Junto con lo anteriormente expuesto, la mejor defensa es la preparación, parchar nuestros sistemas oportunamente nos da la ventaja de estar al día en las protecciones que el fabricante de nuestro sistema operativo ofrece.
Un ejemplo es con el tristemente célebre ransomware WannaCry, cuya propagación era evitable luego de instalar el parche MS17-010 de Microsoft para sus sistemas operativos Windows.
Esto no impide que se sigan ejecutando ataques con ransomware, de hecho esta semana ha causado un gran revuelo el ransomware GrandCrab, el cual solicita una recompensa cercana al millón de pesos en una criptomoneda llamada Dash (la cual es mucho mas difícil de rastrear que el general de las criptodivisas)

Foro Económico Mundial: Ciber ataques se encuentran entre los 3 mayores riesgos para la sociedad moderna

Junto con los desastres naturales y el clima extremo; de esta forma el Foro Económico Mundial calificó a los ciber ataques, esto le otorga un nivel de riesgo incluso mayor que el terrorismo.
Un reporte advierte que el ransomware, el hacking al Internet de las Cosas (IoT) y los ataques industriales pueden ocasionar los mismos problemas que las otras causas descritas.
Uno de los mayores riesgos para las Naciones y su relación con Internet y los servicios conectados es el daño potencial a raíz de los ciber ataques, según un reporte desde el Foro Económico Mundial (WEF).
La amenaza de ciber ataques se encuentra sólo detrás de eventos de clima extremos y desastres naturales en términos de eventualmente causar un trastorno en los próximos 5 años, de acuerdo al Global Risks Report 2018 del Foro Económico Mundial. El WEF es un organismo internacional que reúne lideres políticos, económicos, académicos entre otros para ayudar a formar una agenda global.
El reporte destaca al ransomware en particular como ciber amenaza, indicando que el 64% de todos los correos de phishing enviados durante el 2017 contenían malware encriptador.
El Global Risks Report 2018 cita 2 grandes eventos como ejemplos del daño y alteración que pueden causar: el ataque de WannaCry, el cual afectó a más de 300.000 computadores en 150 países e impactó infraestructura a escala global (NHS de Reino Unido, Telefónica, LATAM, Dirección de transito en Australia, entre varios) y Petya, el cual causó pérdidas sobre los 300 millones de dólares a un gran número de organizaciones.
Sin embargo, esto es relativamente un bajo nivel comparado con lo que los ciber delincuentes podrían realizar a un nivel industrial o de infraestructura crítica.
“En el peor escenario, los atacantes pueden gatillar un quiebre en los sistemas que mantienen a la sociedad funcionando”, advierte el reporte.
El reporte del año anterior advirtió acerca del riesgo potencial de los dispositivos del Internet de las Cosas (IoT). Un año mas tarde y luego de varios incidentes de seguridad relacionados con IoT nada se ha hecho para minimizar esta amenaza, así los hackers cada vez mas ponen su atención en estos dispositivos como una puerta de acceso a las redes.
Los ciber criminales han aumentado exponencialmente la cantidad de objetivos posibles, debido al uso de que los servicios en la nube continuan creciendo y se espera que el IoT se expanda desde un estimado de 8 mil millones de dispositivos en 2017 a 20 mil millones en 2020, lo que implicaría que un ataque que hoy se denominaría a gran escala sea posteriormente considerado normal.
La mayoría de los ataques en sistemas críticos y estratégicos aún tendrían que ser más efectivos, pero el WEF indica que el creciente numero de intentos de ataque sugiere que el riesgo esta aumentando, especialmente cuando la arquitectura interconectada de los sistemas actualmente en el mundo indica que los ataques pueden causar golpes irreversibles a nuestro sistema social.
Mientras el reporte indica que el ciber riesgo está en aumento, indica cuánto hay que implementar para proteger a las organizaciones, y a la sociedad como un todo, de un ataque.
Las fricciones geopolíticas contribuyen a un aumento en la escala y la sofisticación de os ciber ataques. Al mismo tiempo la exposición a estos ataques aumentan a medida que las empresas dependen mas y mas de la tecnología. Se debiese asegurar la continuidad y resiliencia al cubrir la brecha económica y posibles pérdidas de igual forma que con una catástrofe natural.
Hacia el futuro, el reporte advierte sobre la posibilidad de guerra sin reglas si un conflicto entre estados llegase a escalar impredeciblemente debido a la falta de reglas de ciber guerra, lo que puede llevar a malos cálculos y un manto de incertidumbre lo que llevaría a daños hacia objetivos no intencionales.

2017: El año en que se demostró la necesidad de seguridad en TI

Existe una pregunta que suele ser cada vez mas frecuente: ¿Que debo hacer en caso de ser víctima de ransomware?, la respuesta es un poco más compleja de lo que quisiéramos. Los ataques de ransomware son cada vez mas frecuentes y complejos, afectando a organizaciones de cualquier tipo y tamaño a escala global. De hecho debemos plantearnos que los ciberataques están mas presentes que nunca y que afectan nuestra vida profesional y privada… a menos de que nos preparemos, lo cual es la clave para alejarnos de estos problemas.
Existen varios ejemplos en distintas industrias que han sido afectadas: Educación, salud, banca, infraestructura y más. Estas organizaciones son atractivas para los criminales ya que las vulnerabilidades que estas presentan son la puerta de entrada para que ellos encuentren lo que buscan: ganancia. Mediante el robo de información sensible (correos, números de RUT, tarjetas de crédito, contraseñas) además del secuestro de datos y equipos, y la inyección de malware que convierte nuestros equipos en recursos malignos para propagación, control y ataque. Por consiguiente la ganancia para los ciber criminales es alta junto con los daños para nuestros negocios.
La pérdida de datos médicos de un paciente hospitalario puede tener consecuencias fatales, análogamente en una institución financiera una intrusión y robo de datos puede provocar la quiebra financiera de clientes e inclusive existen casos de extorsión industrial con amenazas de sabotaje mediante malware, en los cuales es la producción de una compañía es la amenazada, junto con todo lo que esto conlleva.
Una encuesta del instituto SANS indica que el mayor tipo de ataque a instituciones financieras es el ransomware, seguido del phishing.
Esto nos lleva a la pregunta inicial: ¿Que debo hacer en caso de ser víctima de ransomware?. Primero debemos modificar esta pregunta por: ¿Que debo hacer para evitar ser víctima de ransomware?, y no solo de ransomware, sino de cualquier tipo de ciberataque. Aquí la respuesta viene con un prefacio: Somos blanco de ciberataques de forma permanente, la prevención es la mejor defensa. La prevención consiste en disminuir nuestra superficie de ataque, y eso se logra de la siguiente manera:
Gestión de vulnerabilidades: Es el proceso de identificar brechas de seguridad en nuestros sistemas y gestionar la mitigación de tales brechas. Como ejemplo: El ransomware WannaCry utiliza una brecha de seguridad del stack SMB en Windows para su propagación, existe un parche por parte de Microsoft desde 1 mes antes de que empezaran los ataques masivos; gran parte de la propagación de este ransomware se pudo haber evitado si tal actualización se hubiese aplicado oportunamente, (artículo recomendado: http://www.corporateit.cl/index.php/2017/09/08/gestion-de-vulnerabilidades-lecciones-para-prevenir-y-para-no-lamentar/)
Antivirus: Base de la protección de sistemas, el antivirus es una herramienta que debe estar presente en todos los dispositivos finales que se encuentren conectados a alguna red y/o que contengan información valiosa. Aunque su nombre ya debiese ser “antiMALWARE”, consiste en la detección oportuna de código malicioso, para su eliminación. Además de sus actualizaciones constantes y frecuentes, brinda una protección primaria siempre disponible. En Makros recomendamos Sophos Endpoint Protection, para usuarios particulares existe una opción gratuita en Sophos Home
Protección por análisis de comportamiento: Se trata de un símil a un antivirus pero que no se basa en “firmas” para la detección de amenazas, sino en el comportamiento de las aplicaciones en ejecución. Mediante este análisis se puede detener y frenar exitosamente problemas tan graves como el ransomware, pues cuando detecta un cifrado de archivos que no es solicitado por el usuario, lo detecta, detiene y reporta. Un excelente ejemplo es Sophos Intercept X
(Next Generation) Firewall: Un cortafuegos es otra medida base en un sistema de seguridad, el filtro de acceso a ciertos sitios y el bloqueo de puertos de entrada locales reduce aún mas las posibilidades de que un atacante pueda tener éxito en ciertos tipos de intrusión. Esto sumado a una reportabilidad incluida “out-of-the-box” y la posibilidad de enlazarse con la consola de antivirus (Sophos Endpoint Protection) crean una potente herramienta en pos de aumentar la seguridad perimetral e interna de nuestra organización.
Anti Phishing: Sin duda la puerta de entrada principal para el malware y otros cibercrimenes es el usuario final, los correos de suplantación de identidad y sitios falsos son el factor que presenta la mayor amenaza en contra de la seguridad organizacional. El entrenamiento de nuestros usuarios debiese ser parte central de una campaña de “prevención de riesgos informáticos”. En Makros ya contamos con una plataforma de medición y entrenamiento para la prevención de phishing, la cual se encontrará a disposición en diciembre de 2017 completamente en español. De todas formas es una gran ayuda para medir cuán seguros estamos frente a la ingeniería social.
Resumiendo: Según los eventos mas relevantes de este año en materia de seguridad, debemos tener siempre en consideración estos aspectos de defensa (y otros a detallar en próximas entregas) para la protección de nuestros activos mas valiosos, la información y las personas.
Ah, y finalmente… nunca pagar el “rescate” de un ransomware, ya que no existe la seguridad de que el pago de tal rescate nos permita recuperar los datos secuestrados. Además de que al pagar estaremos validando esta actividad criminal. Una buena política de respaldos de información y la aplicación de las medidas indicadas en este artículo disminuyen en gran medida la posibilidad de un ataque y su eventual impacto.

EsteemAudit: Exploit para RDP de la NSA. Sin parche oficial Microsoft

Existe una posibilidad latente de una “segunda ola” de ataques por malware, pues no sólo el protocolo SMB fue objetivo de los exploits creados por la NSA y que fueron expuestos el mes pasado.

Mientras Microsoft libera parches para las fallas en SMB, inclusive para versiones obsoletas de Windows, no ocurre esto en relación a otras herramientas de hackeo: “EnglishmanDentist”, EsteemAudit” y “ExplodingCan”.

EsteemAudit es otra peligrosa herramienta de hacking de Windows, desarrollada por la NSA, la cual ataca mediante el servicio RDP (puerto 3389) para equipos Windows XP y 2003. Como se trata de sistemas que se encuentran en End Of Life, Microsoft no ha liberado algún parche de emergencia para el exploit de EsteemAudit, por lo que existe una cantidad elevada de sistemas vulnerables de cara a Internet disponibles para atacar.

Este malware también puede ser usado como “gusano”, similar a WannaCry, lo que permitiría a atacantes propagarse por redes corporativas enteras y dejar una gran cantidad de sistemas vulnerables a acciones maliciosas como ransomware, espionaje, C&C y otros.

Ya existe historial de propagación de ransomware mediante RDP, por lo que la primera recomendación es la actualización de sistemas Windows fuera de soporte a versiones que se encuentran soportadas por Microsoft (2008 y superior). En caso de no ser posible, securizar el puerto de RDP mediante firewall o deshabilitarlo.

Malware EternalRocks: utiliza más herramientas filtradas que WannaCry

Este lunes dio a conocer un nuevo malware relacionado con la filtración de herramientas utilizadas por la NSA (2 de ellas utilizadas por WannaCry), se trata de EternalRocks. Éste se replica utilizando 4 exploits desclasificados: EternalBlue, EternalRomance, EternalChampion y EternalSynergy; además de 3 herramientas: DoubePulsar, ArchiTouch y SMBTouch.

La primera etapa de este malware, UpdateInstaller.exe, descarga los componentes .NET necesarios para etapas posteriores TaskScheduler y SharpZLib desde internet, mientras baja a svchost.exe y taskhost.exe. 

El componente svchost.exe es utilizado para descargar, desempaquetar y ejecutar Tor desde archive.torproject.org junto con C&C (ubgdgno5eswkhmpy.onion) par solicitar mayores instrucciones como la instalación de componentes adicionales.

En su segunda etapa, otro taskhost.exe se descarga después de 24 horas también desde ubgdgno5eswkhmpy.onion y luego se ejecuta. Entonces baja el pack de exploit shadowbrokers.zipy descomprime los directorios payloads/, configs/ y bins/. Luego realiza un scan aleatorio a los puertos SMB (445) en Internet mientras ejecuta los exploits contenidos en bins/ y transmite la primera etapa mediante cargas del directorio payloads/. Además espera al proceso Tor por instrucciones adicionales de C&C.

Recomendación:

  • Instalación del parche MS17-010 para sistemas Windows, ya que en éste se encuentran remediadas las vulnerabilidades de propagación via SMB.
  • Evitar en lo posible la habilitación del protocolo SMBv1.
  • Bloquear en firewall el dominio <<ubgdgno5eswkhmpy.onion>>

PoC y muestras disponibles en la fuente original de esta información: https://github.com/stamparm/EternalRocks/

Este malware está cubierto por soluciones Sophos.