Al menos siete 'exploits' supuestamente sustraídos de la Agencia Nacional de Seguridad (NSA) de EE.UU. han sido detectados en el nuevo 'malware' denominado 'EternalRocks'. Se cree que puede ser mucho más peligroso que el virus WannaCry, que afectó a unos 150 países el pasado 12 de mayo.
Este nuevo virus se aprovecha de las vulnerabilidades en los sistemas operativos Windows relacionadas con el protocolo de red SMB. De estos 'exploits', seis han sido utilizados por la NSA para llevar a cabo su ciberespionaje y estas herramientas posteriormente habrían sido filtradas por el grupo de 'hackers' ShadowBrokers.
EternalRocks utiliza los siguientes 'exploits': EternalBlue, EternalChampion, EternalRomance, EternalSynergy. Además de esas herramientas también utiliza SMBTouch, ArchiTouch y DoublePulsar. A modo de comparación, WannaCry infectó más de 300.000 ordenadores en todo el mundo basándose únicamente en EternalBlue y DoublePulsar.
Las características de esta nueva "ciberarma" han sido identificadas por el experto croata en seguridad cibernética Miroslav Stampar, quien explica que la ejecución del ataque de EternalRocks se produce en dos etapas. "Después de unas ocho horas de análisis descubrí cómo provocar la segunda fase", afirma Stampar en declaraciones.
'Modus operandi'
"Me sentí un poco conmocionado y asustado porque alguien ha logrado de forma exitosa y profesional empaquetar todos los 'exploits' del SMB. Creo que algo más grande que WannaCry está por llegar", alerta el experto.Stampar precisa que inicialmente EternalRocks se encuentra oculto en el dispositivo infectado, y puede ser activado más tarde para propósitos maliciosos. "Su único propósito en este momento es la propagación, está en espera de más actualizaciones de mando y control. Creo que esto solo es el comienzo", agrega el analista en seguridad cibernética, que advierte que el virus podría ser activado en cualquier momento.
La segunda etapa del ataque se activa después de 24 horas, cuando los 'exploits' empiezan a ser descargados y el virus envía una señal a los demás servidores infectados. A diferencia de WannaCry, que alerta a las víctimas que han sido infectadas a través del 'ransomware', EternalRocks permanece oculto y en silencio en los ordenadores.
La NSA ha sido criticada por mantener en secreto la existencia de estos 'exploits'. El Congreso estadounidense ha presentado un proyecto de ley que, de ser aprobado, obligaría al Gobierno de EE.UU. a entregar su arsenal cibernético a comisiones independientes de revisión.