Lo que sigue a WannaCry: EternalRock
De acuerdo con información que circula en la red, se ha confirmado la existencia de EternalRock, un nuevo malware que usa exploits de la NSA, más potente que WannaCry y que puede mantenerse oculto antes de atacar, lo que hace difícil su detección.
Se sabe que la primera advertencia la dio Miroslav Stampar (experto de seguridad en el CERT de Croacia) en su cuenta de Twitter, donde explica sus hallazgos y las particularidades de este malware.
Stampar menciona que EternalRock usa siete de los exploits de la NSA filtrados por Shadow Brokers (concretamente EternalBlue, DoublePulsar, EternalChampion, EternalRomance, EternalSynergy, ArchiTouch y SMBTouch) el pasado mes de abril, con las cuales entra en los equipos, los espía (con SMBTouch y ArchTouch) y se esparce (con DoublePulsar, la cual también usa WannaCry).
Además del número de exploits, la diferencia con WannaCry es que éste avisaba de la infección a los usuarios a través de pantallas, mientras que EternalRock permanece oculto e inactivo en un primer momento.
El ataque ocurre en dos fases:
–Infección, descarga del navegador Tor y contacto con los ocultos del gusano
–24 horas después los servidores ocultos responden, y es ahí cuando ya es detectable. Por ello saca una ventaja mínima de un día a los equipos de ciberseguridad.
Esta manera de actuar a lo espora es lo que dificulta su detección, por ello Stampar y otros expertos advierten de que puede haber una activación en cualquier momento, pudiendo provocar un ataque masivo similar al visto con WannaCry, una posibilidad que no se ha sabido precisar, según la información consultada.
