El gusano SMB que apunta a EternalBlue Vuln se propaga a EE. UU.



«Indexsinas» es la última amenaza diseñada para explotar servidores Home windows que siguen siendo vulnerables a un exploit desarrollado por la NSA que Microsoft parcheó hace más de cuatro años.

El peligroso exploit EternalBlue desarrollado por la NSA contra una vulnerabilidad en el protocolo Server Information Block (SMB) de Microsoft continúa representando una amenaza significativa para muchas organizaciones en todo el mundo más de cuatro años después de que el proveedor emitió un parche para corregir la falla.

El último ejemplo es «Indexsinas», también conocido como «NSABuffMiner», un gusano SMB que inicialmente infectó organizaciones en la región Asia-Pacífico pero recientemente ha comenzado a apuntar con más frecuencia a organizaciones norteamericanas en los sectores de salud, hospitalidad, educación y telecomunicaciones.

El proveedor de seguridad Guardicore, que ha estado rastreando la campaña, dice que el malware viola las redes a través de servidores SMB que son vulnerables a EternalBlue. Luego utiliza una combinación de EternalBlue y otras dos herramientas ofensivas desarrolladas por la NSA, DoublePulsar y EternalRomance, para el movimiento lateral, obtener acceso privilegiado e instalar puertas traseras en redes y sistemas infectados. Se ha observado que el malware utiliza movimientos laterales para infectar redes enteras.

Como parte de la cadena de ataque, el malware busca y finaliza procesos, elimina archivos y detiene los servicios relacionados con otras campañas de ataque. Los atacantes también han estado cerrando programas en sistemas infectados que se utilizan para monitorear y monitorear procesos, dijo Guardicore en un informe. informe esta semana.

El motivo principal de la campaña parece ser el uso de sistemas infectados con fines de criptominería. Pero los sistemas comprometidos podrían fácilmente ser mal utilizados de otras formas, dice Ophir Harpaz, investigador de seguridad de Guardicore.

«El actor está abriendo puertas traseras capaces de ejecutar cualquier carga útil que deseen», dice. Las puertas traseras se pueden usar para implementar otro malware, incluido el ransomware, y otros goteros que pueden eliminar el ransomware.

También es «altamente plausible que los actores estén usando máquinas infectadas como infraestructura, posiblemente para vender acceso a otros actores de amenazas», dice Harpaz.

EternalBlue, DoublePulsar y EternalRomance son parte de un tramo mucho más amplio de sofisticadas herramientas de ataque desarrolladas por un equipo afiliado a la NSA llamado Equation Group. Las herramientas de alto secreto fueron diseñadas para ser utilizadas por la NSA para operaciones cibernéticas ofensivas contra adversarios extranjeros, pero terminaron siendo ampliamente distribuidas cuando un equipo llamado Shadow Brokers comenzó a filtrarlas en lotes entre agosto de 2016 y principios de 2017. Las filtraciones incluyeron varios cero. vulnerabilidades y exploits diarios. Llamaron la atención generalizada sobre la práctica de la NSA y otras agencias estadounidenses de tres letras de acumular en secreto vulnerabilidades y exploits en productos de tecnología ampliamente utilizados para su uso contra adversarios.

EternalBlue fue uno de los exploits de día cero más abusados. La propia NSA según se informa consideró el exploit tan valioso que no reveló la falla subyacente de SMB a Microsoft hasta que la agencia se vio obligada a hacerlo después de la filtración del Shadow Broker.

Básicamente, el exploit brinda a los atacantes no autenticados una forma de obtener acceso de ejecución remota de código a un servidor SMBv1 específico enviándole un paquete especialmente diseñado. La falla afectó a múltiples versiones de Windows, en su mayoría más antiguas, como Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2012. Debido a su gravedad, Microsoft parches emitidos para todas las versiones de Windows afectadas, incluidas las que ya no son compatibles.

A pesar de la solución de Microsoft, y las amplias advertencias sobre su gravedad, EternalBlue se ha utilizado ampliamente en ataques desde 2017, en gran parte debido a la lentitud de muchas organizaciones para abordar el problema. De hecho, apenas dos meses después de que Microsoft corrigiera las fallas en marzo de 2017, los atacantes abusaron de decenas de miles de servidores SMB vulnerables para distribuir el malware WannaCry y NotPetya. Desde entonces, EternalBlue se ha utilizado en numerosas campañas de ransomware y otras campañas de malware.

Muchos sistemas permanecen sin parches
Guardicore dice que una búsqueda de Shodan muestra más de 1.2 millones de servidores SMB conectados a World wide web en la actualidad. Pero no está claro cuántos de ellos siguen siendo vulnerables a EternalBlue, dice Liad Mordekoviz, investigadora de seguridad de Guardicore. Una razón por la que es probable que muchos sistemas permanezcan sin parches es porque las organizaciones simplemente se han sentido demasiado intimidadas para actualizar a una nueva infraestructura.

«(Eso) también podría deberse a la falta de experiencia o ancho de banda para asumir el proyecto, dejándolos expuestos durante bastante tiempo», dice.

Los sensores de detección de amenazas de Guardicore han registrado hasta ahora más de 2.000 ataques desde más de 1.300 direcciones IP diferentes ubicadas principalmente en EE. UU., India y Vietnam. Los actores detrás de la campaña han estado usando el mismo servidor altamente protegido y seguro en Corea del Sur para propósitos de comando y regulate durante los últimos cuatro años. Dado que los atacantes están extrayendo monedas en un grupo privado, no ha sido posible determinar cuánta criptomoneda han extraído hasta ahora a través de sistemas comprometidos, dijo el proveedor de seguridad.

«No tenemos una estimación del número de máquinas infectadas, pero si más de 1.000 máquinas escanean nuestro número limitado de sensores, lo más probable es que haya miles, o incluso decenas de miles, de máquinas infectadas en todo el mundo», señala Harpaz.

Guardicore ha publicado un Repositorio de Github con todos los indicadores de compromiso (COI) de la campaña. También ha publicado una herramienta de detección en PowerShell para que las organizaciones sepan si se han visto comprometidas.

Mordekoviz dice que la principal conclusión de las organizaciones es la necesidad de actualizar los servidores y segmentar las redes.

«La actualización de sus servidores ayudará con las infracciones, mientras que la segmentación de su purple evitará el movimiento lateral, lo que garantiza que después de la infracción sólo una máquina se verá comprometida en lugar de toda la pink», dice Mordekoviz.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary