El ransomware WannaCry sin duda hizo honor a su clasificación de virus, extendiéndose por más de 150 países y dejando inutilizables los archivos de miles de víctimas. Pero quizás lo peor no ha pasado, porque el equipo del protocolo Samba, utilizado en sistemas operativos tipo UNIX (incluyendo Linux y Mac OS X) ha advertido sobre la existencia en este programa de la misma vulnerabilidad que fue aprovechada en Windows para esparcir el WannaCry. Paralelamente, el experto en ciberseguridad Miroslav Stampar descubrió un nuevo virus llamado EternalRocks, que es capaz de utilizar todos los exploits robados a la NSA.
Hasta la fecha, por fortuna, estos descubrimientos son sólo advertencias, pues al parecer los hackers aún no se han decidido a aprovecharlos a su favor. Samba es una implementación libre para sistema UNIX del protocolo de archivos compartidos de Windows (Server Message Block), el mismo que contenía la vulnerabilidad que permitió la entrada al ransomware masivo. Según expertos de la compañía de ciberseguridad Rapid7, sólo se requieren 15 minutos para aprovechar la vulnerabilidad a fin de controlar el computador de manera remota, cambiando una sola línea de código, y más de cien mil computadores se encuentran utilizando las versiones vulnerables de este software. La mayoría, al parecer, pertenecen a usuarios personales, pero algunos son de usuarios corporativos.
El equipo de Samba ha publicado un parche (actualización) para este software, que todos los usuarios deberían aplicar a la prontitud para evitar posibles sorpresas. Si bien, aún hay muchos usuarios que utilizan versiones no soportadas de Samba, por lo que para ellos no está disponible este parche (tal como sucedió con las víctimas del WannaCry que utilizaban Windows XP). Para estos usuarios, se ha recomendado añadir un parámetro nuevo en la configuración, aunque se les ha advertido que esto podría deshabilitar ciertas funcionalidades.
Por otro lado, el EternalRocks se ha clasificado como más potente que el WannaCry, dado que este último sólo utilizó dos de las ciberarmas filtradas de la NSA (DoublePulsar y EternalBlue), mientras que él es capaz de utilizar, además de estos exploits, el EternalChampion, EternalRomance y EternalSinergy junto a los programas SMBTouch y ArchiTouch. Estos le permiten controlar el computador de manera remota y, si lo quisiera, instalar cualquier tipo de programa, inclusive ransomware.
Sin embargo, es mucho más sigiloso que el WannaCry. Entra de forma inadvertida a un computador, descarga el navegador Tor para entrar en la Internet Profunda y ponerse en contacto con su servidor de comando y control, del cual no recibe respuesta sino 24 horas después, que es cuando puede ser detectado por los sistemas de seguridad. Se ha tomado como una amenaza latente, pues hasta la fecha no se sabe cuántos computadores puedan estar infectados y no ha recibido ninguna instrucción oscura por parte de su autor.
De hecho, quizás lo más curioso del EternalRocks, según indica Stampar en GitHub, sea el mensaje que el hacker ha dejado en el servidor de comando y control. En él, empieza afirmando que no se trata de ransomware ni es peligroso, y que sólo estaba buscando probar los exploits de la NSA, pese a la alarma que este virus ha causado en los medios. Además, asegura que bloqueó la vulnerabilidad en los sistemas infectados.
No es ransomware, no es peligroso, sólo activa el Firewall al puerto SMB y sigue adelante (…) Por cierto, todo lo que hice fue usar las herramientas de la NSA para lo que fueron creadas (¿espiar?), estaba averiguando cómo funcionaban, y lo siguiente que supe es que tenía acceso, así que, ¿qué hacer entonces? Estaba como que ehh, sólo activaré el Firewall para el puerto. Gracias por jugar, ten un buen día.
Hacker tras el EternalRocks
Aunque al parecer no se trata de una amenaza directa, revela que las herramientas de la NSA, a estas alturas, se encuentran en manos de más de un hacker, y que podrían ser utilizadas con cualquier fin en cualquier momento. Por ello, la idea de un más potente y peligroso WannaCry u otro Adylkuzz no debe descartarse, especialmente cuando el grupo que filtró las ciberarmas en primer lugar, los Shadow Brokers, han amenazado con publicar más en junio. En este contexto, resulta esencial actualizar los sistemas operativos a la prontitud.