EternalBlue [6] es un exploit de ciberataque desarrollado por la Agencia de Seguridad Nacional de los Estados Unidos (NSA). [7] Fue filtrado por el grupo de hackers Shadow Brokers el 14 de abril de 2017, un mes después de que Microsoft lanzara parches para la vulnerabilidad .
Nombre común | Eterno |
---|---|
Nombre técnico |
|
Tipo | Explotar |
Autor (es) | Grupo de ecuaciones |
Sistema (s) operativo (s) afectado (s) | Windows 95 , Windows 98 , Windows Me , Windows NT , Windows 2000 , Windows XP |
El 12 de mayo de 2017, el ransomware WannaCry en todo el mundo utilizó este exploit para atacar equipos sin parches. [6] [8] [9] [10] [11] [12] : 1 El 27 de junio de 2017, el exploit se usó nuevamente para ayudar a llevar a cabo el ciberataque NotPetya de 2017 en más computadoras sin parches. [13]
También se informó que el exploit había sido utilizado desde marzo de 2016 por el grupo de piratería chino Buckeye (APT3) , después de que probablemente encontraron y redirigieron la herramienta, [12] : 1 y se informó que se había utilizado como parte del bancario Retefe troyano desde por lo menos 5 de septiembre de 2017. [14]
EternalBlue fue uno de los varios exploits utilizados, junto con la herramienta de implante de puerta trasera DoublePulsar . [15]
Detalles
EternalBlue explota una vulnerabilidad en Microsoft aplicación de la 's Server Message Block protocolo (SMB). Esta vulnerabilidad se indica mediante la entrada CVE - 2017-0144 [16] [17] en el catálogo de vulnerabilidades y exposiciones comunes (CVE). La vulnerabilidad existe porque el servidor SMB versión 1 (SMBv1) en varias versiones de Microsoft Windows maneja mal los paquetes especialmente diseñados de atacantes remotos, lo que les permite ejecutar código arbitrario en la computadora de destino. [18]
La NSA no alertó a Microsoft sobre las vulnerabilidades y la mantuvo durante más de cinco años antes de que la violación lo forzara. Luego, la agencia advirtió a Microsoft después de enterarse del posible robo de EternalBlue, lo que le permitió a la compañía preparar un parche de software emitido en marzo de 2017, [19] después de retrasar su lanzamiento regular de parches de seguridad en febrero de 2017. [20] El martes 14 de marzo de 2017. , Microsoft emitió el boletín de seguridad MS17-010, [21] que detallaba la falla y anunciaba que se habían lanzado parches para todas las versiones de Windows que eran compatibles actualmente en ese momento, siendo Windows Vista , Windows 7 , Windows 8.1 , Windows 10 , Windows Server 2008 , Windows Server 2012 y Windows Server 2016 . [22] [23]
Muchos usuarios de Windows no habían instalado los parches cuando, dos meses después, el 12 de mayo de 2017, el ataque de ransomware WannaCry utilizó la vulnerabilidad EternalBlue para propagarse. [24] [25] Al día siguiente (13 de mayo de 2017), Microsoft lanzó parches de seguridad de emergencia para Windows XP , Windows 8 y Windows Server 2003 no compatibles . [26] [27]
En febrero de 2018, EternalBlue fue adaptado a todos los sistemas operativos Windows desde Windows 2000 por el investigador de seguridad de RiskSense , Sean Dillon. EternalChampion y EternalRomance , otras dos hazañas desarrolladas originalmente por la NSA y filtradas por The Shadow Brokers , también fueron portadas en el mismo evento. Se pusieron a disposición como módulos Metasploit de código abierto . [28]
A fines de 2018, millones de sistemas aún eran vulnerables a EternalBlue. Esto ha generado daños por valor de millones de dólares debido principalmente a gusanos ransomware. Tras el impacto masivo de WannaCry , tanto NotPetya como BadRabbit causaron daños por valor de más de mil millones de dólares en más de 65 países, utilizando EternalBlue como vector de compromiso inicial o como método de movimiento lateral. [29]
En mayo de 2019, la ciudad de Baltimore luchó contra un ciberataque de extorsionistas digitales; el ataque congeló miles de computadoras, cerró el correo electrónico e interrumpió las ventas de bienes raíces, facturas de agua, alertas de salud y muchos otros servicios. Nicole Perlroth, que escribe para el New York Times , inicialmente atribuyó este ataque a EternalBlue; [30] en una memoria publicada en febrero de 2021, Perlroth aclaró que EternalBlue no había sido responsable del ciberataque de Baltimore, mientras criticaba a otros por señalar "el detalle técnico de que en este caso particular, el ataque de ransomware no se había extendido con EternalBlue". [31]
Desde 2012, cuatro directores de información de la ciudad de Baltimore han sido despedidos o han dimitido; dos se fueron mientras estaban bajo investigación. [32] Algunos investigadores de seguridad dijeron que la responsabilidad de la violación de Baltimore recaía en la ciudad por no actualizar sus computadoras. El consultor de seguridad Rob Graham escribió en un tweet: "Si una organización tiene un número sustancial de máquinas con Windows que han pasado 2 años sin parches, entonces es directamente culpa de la organización, no de EternalBlue". [33]
Responsabilidad
Según Microsoft , fue la NSA de los Estados Unidos la responsable debido a su controvertida estrategia de no revelar las vulnerabilidades, sino acumularlas. La estrategia evitó que Microsoft conociera (y posteriormente parcheara) este error y presumiblemente otros errores ocultos. [34] [35]
EternalRocks
EternalRocks o MicroBotMassiveNet es un gusano informático que infecta a Microsoft Windows. Utiliza siete exploits desarrollados por la NSA. [36] Comparativamente, el programa de ransomware WannaCry que infectó 230,000 computadoras en mayo de 2017 solo usa dos exploits de la NSA, lo que hace que los investigadores crean que EternalRocks es significativamente más peligroso. [37] El gusano fue descubierto a través de un honeypot . [38]
Infección
EternalRocks primero instala Tor , una red privada que oculta la actividad de Internet, para acceder a sus servidores ocultos. Después de un breve " período de incubación " de 24 horas , [36] el servidor responde a la solicitud de malware mediante la descarga y la autorreplicación en la máquina " host ".
El malware incluso se llama a sí mismo WannaCry para evitar ser detectado por los investigadores de seguridad. A diferencia de WannaCry, EternalRocks no posee un interruptor de apagado y no es ransomware. [36]
Ver también
- BlueKeep (vulnerabilidad de seguridad) : una vulnerabilidad similar
- Petya (malware)
Referencias
- ^ "Trojan: descripción de la amenaza Win32 / EternalBlue - inteligencia de seguridad de Microsoft" . www.microsoft.com .
- ^ "TrojanDownloader: Win32 / Eterock.A descripción de la amenaza - Inteligencia de seguridad de Microsoft" . www.microsoft.com .
- ^ "Riesgo detectado" . www.broadcom.com .
- ^ "TROJ_ETEROCK.A - Enciclopedia de amenazas - Trend Micro USA" . www.trendmicro.com .
- ^ "Win32 / Exploit.Equation.EternalSynergy.A | ESET Virusradar" . www.virusradar.com .
- ^ a b Goodin, Dan (14 de abril de 2017). "Shadow Brokers con filtraciones de la NSA acaba de lanzar su versión más dañina hasta el momento" . Ars Technica . pag. 1 . Consultado el 13 de mayo de 2017 .
- ^ Nakashima, Ellen; Timberg, Craig (16 de mayo de 2017). "Los funcionarios de la NSA estaban preocupados por el día en que su potente herramienta de piratería se soltaría. Entonces lo hizo" . Washington Post . ISSN 0190-8286 . Consultado el 19 de diciembre de 2017 .
- ^ Fox-Brewster, Thomas (12 de mayo de 2017). "Un arma cibernética de la NSA podría estar detrás de un brote masivo de ransomware global" . Forbes . pag. 1 . Consultado el 13 de mayo de 2017 .
- ^ Goodin, Dan (12 de mayo de 2017). "Un gusano ransomware derivado de la NSA está apagando computadoras en todo el mundo" . Ars Technica . pag. 1 . Consultado el 13 de mayo de 2017 .
- ^ Ghosh, Agamoni (9 de abril de 2017). " ' Presidente Trump, ¿qué diablos estás haciendo?', Dice Shadow Brokers y descarga más herramientas de piratería de la NSA" . International Business Times Reino Unido . Consultado el 10 de abril de 2017 .
- ^ " ' NSA malware' lanzado por el grupo de hackers Shadow Brokers" . BBC News . 10 de abril de 2017 . Consultado el 10 de abril de 2017 .
- ^ a b Greenberg, Andy (7 de mayo de 2019). "El extraño viaje de un día cero de la NSA: en manos de múltiples enemigos" . Cableado . Archivado desde el original el 12 de mayo de 2019 . Consultado el 19 de agosto de 2019 .
- ^ Perlroth, Nicole; Scott, Mark; Frenkel, Sheera (27 de junio de 2017). "El ciberataque golpea a Ucrania y luego se propaga internacionalmente" . The New York Times . pag. 1 . Consultado el 27 de junio de 2017 .
- ^ "EternalBlue Exploit utilizado en la campaña de troyanos bancarios de Retefe" . Threatpost . Consultado el 26 de septiembre de 2017 .
- ^ "stamparm / EternalRocks" . GitHub . Consultado el 25 de mayo de 2017 .
- ^ "CVE-2017-0144" . CVE: vulnerabilidades y exposiciones comunes . La Corporación MITRE . 9 de septiembre de 2016. p. 1 . Consultado el 28 de junio de 2017 .
- ^ "Vulnerabilidad de ejecución remota de código CVE-2017-0144 de Microsoft Windows SMB Server" . SecurityFocus . Symantec . 14 de marzo de 2017. p. 1 . Consultado el 28 de junio de 2017 .
- ^ "Vulnerabilidad CVE-2017-0144 en SMB explotada por el ransomware WannaCryptor para extenderse a través de LAN" . ESET Norteamérica. Archivado desde el original el 16 de mayo de 2017 . Consultado el 16 de mayo de 2017 .
- ^ "Los funcionarios de la NSA estaban preocupados por el día en que su potente herramienta de piratería se soltaría. Entonces lo hizo" . Consultado el 25 de septiembre de 2017 .
- ^ Warren, Tom (15 de abril de 2017). "Microsoft ya ha parcheado los hacks de Windows filtrados de la NSA" . The Verge . Vox Media . pag. 1 . Consultado el 25 de abril de 2019 .
- ^ "Boletín de seguridad de Microsoft MS17-010 - Crítico" . technet.microsoft.com . Consultado el 13 de mayo de 2017 .
- ^ Cimpanu, Catalin (13 de mayo de 2017). "Microsoft lanza parche para versiones anteriores de Windows para proteger contra Wana Decrypt0r" . Ordenador que suena . Consultado el 13 de mayo de 2017 .
- ^ "Política de ciclo de vida de Windows Vista" . Microsoft . Consultado el 13 de mayo de 2017 .
- ^ Newman, Lily Hay (12 de marzo de 2017). "Los expertos de Ransomware Meltdown advirtieron sobre está aquí" . wired.com . pag. 1 . Consultado el 13 de mayo de 2017 .
- ^ Goodin, Dan (15 de mayo de 2017). "Wanna Decryptor: el gusano ransomware derivado de la NSA que apaga las computadoras en todo el mundo" . Ars Technica Reino Unido . pag. 1 . Consultado el 15 de mayo de 2017 .
- ^ Surur (13 de mayo de 2017). "Microsoft lanza el parche Wannacrypt para Windows XP, Windows 8 y Windows Server 2003 no compatibles" . Consultado el 13 de mayo de 2017 .
- ^ Equipo MSRC. "Orientación al cliente para ataques WannaCrypt" . microsoft.com . Consultado el 13 de mayo de 2017 .
- ^ "Exploits de la NSA adaptados para funcionar en todas las versiones de Windows lanzadas desde Windows 2000" . www.bleepingcomputer.com . Consultado el 5 de febrero de 2018 .
- ^ "Un año después de WannaCry, EternalBlue Exploit es más grande que nunca" . www.bleepingcomputer.com . Consultado el 20 de febrero de 2019 .
- ^ Perlroth, Nicole; Shane, Scott (25 de mayo de 2019). "En Baltimore y más allá, una herramienta de la NSA robada causa estragos" , a través de NYTimes.com.
- ^ Perlroth, Nicole (9 de febrero de 2021). Así es como me dicen que termina el mundo: la carrera armamentista de las armas cibernéticas . Bloomsbury.
- ^ Gallagher, Sean (28 de mayo de 2019). "Eternally Blue: los líderes de la ciudad de Baltimore culpan a la NSA por el ataque de ransomware" . Ars Technica .
- ^ Rector, Ian Duncan, Kevin. "Los líderes políticos de Baltimore buscan informes tras el informe de que la herramienta de la NSA se utilizó en un ataque de ransomware" . baltimoresun.com .
- ^ "La necesidad de una acción colectiva urgente para mantener a las personas seguras en línea: lecciones del ciberataque de la semana pasada - Microsoft sobre los problemas" . Microsoft sobre los problemas . 14 de mayo de 2017 . Consultado el 28 de junio de 2017 .
- ^ Titcomb, James (15 de mayo de 2017). "Microsoft critica al gobierno de Estados Unidos por un ciberataque global" . El telégrafo . pag. 1 . Consultado el 28 de junio de 2017 .
- ^ a b c "Nuevo gusano SMB utiliza siete herramientas de piratería de la NSA. WannaCry utilizó sólo dos" .
- ^ "El ransomware recientemente identificado 'EternalRocks' es más peligroso que 'WannaCry' - Tech2" . Tech2 . 22 de mayo de 2017 . Consultado el 25 de mayo de 2017 .
- ^ "Miroslav Stampar en Twitter" . Twitter . Consultado el 30 de mayo de 2017 .
Otras lecturas
- Grossman, Nadav (29 de septiembre de 2017). "EternalBlue - Todo lo que hay que saber" .
enlaces externos
- Boletín de seguridad de Microsoft MS17-010
- Entradas del catálogo de Microsoft Update para los parches de EternalBlue
- CVE - 2017-0144 Entrada en catálogo CVE