Azul eterno

Explosión de seguridad informática

EternalBlue ^[5] es un software de explotación informática desarrollado por la Agencia de Seguridad Nacional de Estados Unidos (NSA). ^[6] Se basa en una vulnerabilidad en Microsoft Windows que permitía a los usuarios obtener acceso a cualquier número de computadoras conectadas a una red . La NSA conocía esta vulnerabilidad pero no la reveló a Microsoft durante varios años, ya que planeaban usarla como mecanismo de defensa contra ataques cibernéticos. En 2017, la NSA descubrió que el software fue robado por un grupo de piratas informáticos conocido como Shadow Brokers . Microsoft fue informado de esto y lanzó actualizaciones de seguridad en marzo de 2017 para parchear la vulnerabilidad. Mientras esto sucedía, el grupo de piratas informáticos intentó subastar el software, pero no logró encontrar un comprador. EternalBlue luego se lanzó públicamente el 14 de abril de 2017. ^{[ cita requerida ]}

El 12 de mayo de 2017, un gusano informático en forma de ransomware , apodado WannaCry , utilizó el exploit EternalBlue para atacar computadoras que usaban Windows que no habían recibido las últimas actualizaciones del sistema eliminando la vulnerabilidad. ^{[5] [7] [8] [9] [10] [11] :  1} El 27 de junio de 2017, el exploit se utilizó nuevamente para ayudar a llevar a cabo el ciberataque NotPetya de 2017 en computadoras más vulnerables. ^[12]

También se informó que el exploit había sido utilizado desde marzo de 2016 por el grupo de piratería chino Buckeye (APT3) , después de que probablemente encontraron y reutilizaron el software, ^{[11] :  1} y también se informó que se había utilizado como parte del troyano bancario Retefe desde al menos el 5 de septiembre de 2017. ^[13]

Detalles

EternalBlue explota una vulnerabilidad en la implementación del protocolo Server Message Block (SMB) de Microsoft . Esta vulnerabilidad está identificada por la entrada CVE - 2017-0144 ^{[14] [15]} en el catálogo de vulnerabilidades y exposiciones comunes (CVE). La vulnerabilidad existe porque el servidor SMB versión 1 (SMBv1) en varias versiones de Microsoft Windows maneja incorrectamente paquetes especialmente diseñados de atacantes remotos, lo que les permite ejecutar código de forma remota en el equipo de destino. ^[16]

La NSA no alertó a Microsoft sobre las vulnerabilidades y las mantuvo en secreto durante más de cinco años antes de que la violación la obligara a actuar. La agencia luego advirtió a Microsoft después de enterarse del posible robo de EternalBlue, lo que le permitió a la compañía preparar un parche de software emitido en marzo de 2017, ^[17] después de retrasar su lanzamiento regular de parches de seguridad en febrero de 2017. ^[18] El martes 14 de marzo de 2017, Microsoft emitió el boletín de seguridad MS17-010, ^[19] que detallaba la falla y anunciaba que se habían lanzado parches para todas las versiones de Windows que actualmente eran compatibles en ese momento, siendo estas Windows Vista , Windows 7 , Windows 8.1 , Windows 10 , Windows Server 2008 , Windows Server 2012 y Windows Server 2016. [ ^{20] [21]}

Los Shadow Brokers publicaron públicamente el código de explotación de EternalBlue el 14 de abril de 2017, junto con varias otras herramientas de piratería de la NSA.

Muchos usuarios de Windows no habían instalado los parches de Microsoft cuando, el 12 de mayo de 2017, el ataque del ransomware WannaCry comenzó a utilizar la vulnerabilidad EternalBlue para propagarse. ^{[22] [23]} Al día siguiente (13 de mayo de 2017), Microsoft lanzó parches de seguridad de emergencia para Windows XP , Windows 8 y Windows Server 2003 no compatibles . ^{[24] [25]}

En febrero de 2018, el investigador de seguridad de RiskSense Sean Dillon adaptó EternalBlue a todos los sistemas operativos Windows desde Windows 2000. EternalChampion y EternalRomance, otros dos exploits desarrollados originalmente por la NSA y filtrados por The Shadow Brokers , también fueron adaptados en el mismo evento. Se pusieron a disposición como módulos Metasploit de código abierto . ^[26]

A finales de 2018, millones de sistemas seguían siendo vulnerables a EternalBlue, lo que ha provocado daños por millones de dólares, principalmente debido a gusanos ransomware. Tras el impacto masivo de WannaCry , tanto NotPetya como BadRabbit causaron daños por valor de más de mil millones de dólares en más de 65 países, utilizando EternalBlue como vector de ataque inicial o como método de movimiento lateral. ^[27]

Ciberataque a la ciudad de Baltimore

En mayo de 2019, la ciudad de Baltimore sufrió un ciberataque por parte de extorsionadores digitales; el ataque congeló miles de computadoras, cerró el correo electrónico e interrumpió las ventas de bienes raíces, las facturas de agua, las alertas de salud y muchos otros servicios. Nicole Perlroth, que escribe para The New York Times , atribuyó inicialmente este ataque a EternalBlue; ^[28] en una memoria publicada en febrero de 2021, Perlroth aclaró que EternalBlue no había sido responsable del ciberataque de Baltimore, al tiempo que criticó a otros por señalar "el detalle técnico de que en este caso particular, el ataque de ransomware no se había propagado con EternalBlue". ^[29]

Desde 2012, cuatro directores de sistemas informáticos de la ciudad de Baltimore han sido despedidos o han dimitido; dos de ellos se marcharon mientras se encontraban bajo investigación. ^[30] Algunos investigadores de seguridad afirmaron que la responsabilidad de la vulneración de seguridad de Baltimore recaía en la ciudad por no actualizar sus ordenadores. El consultor de seguridad Rob Graham escribió en un tuit: "Si una organización tiene una cantidad considerable de máquinas Windows que han pasado dos años sin parches, entonces es culpa de la organización, no de EternalBlue". ^[31]

Responsabilidad

Después del ataque WannaCry, Microsoft asumió la "primera responsabilidad de abordar estos problemas", pero criticó a las agencias gubernamentales como la NSA y la CIA por almacenar vulnerabilidades en lugar de revelarlas, escribiendo que "un escenario equivalente con armas convencionales sería que el ejército estadounidense sufriera el robo de algunos de sus misiles Tomahawk ". ^[32] La estrategia de almacenamiento impidió que Microsoft conociera (y posteriormente parchara) este error, y presumiblemente otros errores ocultos. ^{[32] [33]} Sin embargo, varios comentaristas, incluido Alex Abdo del Knight First Amendment Institute de la Universidad de Columbia , han criticado a Microsoft por trasladar la culpa a la NSA, argumentando que debería ser responsable de lanzar un producto defectuoso de la misma manera que podría serlo un fabricante de automóviles. ^[34] La compañía fue criticada por restringir inicialmente el lanzamiento de su parche EternalBlue a los usuarios recientes de Windows y a los clientes de sus contratos de soporte extendido de $ 1,000 por dispositivo, una medida que dejó a organizaciones como el NHS del Reino Unido vulnerables al ataque WannaCry. Un mes después del lanzamiento del parche, Microsoft tomó la inusual medida de ponerlo a disposición de forma gratuita para los usuarios de todas las ediciones vulnerables de Windows desde Windows XP. ^[35]

Rocas eternas

EternalRocks o MicroBotMassiveNet es un gusano informático que infecta Microsoft Windows. Utiliza siete exploits desarrollados por la NSA. ^[36] En comparación, el programa ransomware WannaCry que infectó 230.000 computadoras en mayo de 2017 solo utiliza dos exploits de la NSA, por lo que los investigadores creen que EternalRocks es significativamente más peligroso. ^[37] El gusano fue descubierto a través de un honeypot . ^[38]

Infección

EternalRocks primero instala Tor , una red privada que oculta la actividad de Internet, para acceder a sus servidores ocultos. Después de un breve " período de incubación " de 24 horas , ^[36] el servidor responde a la solicitud del malware descargándose y autorreplicándose en la máquina " host ".

El malware incluso se llama WannaCry para evitar que los investigadores de seguridad lo detecten. A diferencia de WannaCry, EternalRocks no tiene un interruptor de seguridad y no es un ransomware. ^[36]

Véase también

• BlueKeep (vulnerabilidad de seguridad) : una vulnerabilidad similar
• Petya (malware)

Referencias

1. "Descripción de la amenaza Trojan:Win32/EternalBlue - Microsoft Security Intelligence". www.microsoft.com .
2. "Descripción de la amenaza TrojanDownloader:Win32/Eterock.A - Microsoft Security Intelligence". www.microsoft.com .
3. "TROJ_ETEROCK.A - Enciclopedia de amenazas - Trend Micro USA". www.trendmicro.com .
4. "Win32/Exploit.Equation.EternalSynergy.A | ESET Virusradar". www.virusradar.com .
5. Goodin, Dan (14 de abril de 2017). "Shadow Brokers, el sitio que filtra información de la NSA, acaba de publicar su versión más perjudicial hasta el momento". Ars Technica . p. 1 . Consultado el 13 de mayo de 2017 .
6. Nakashima, Ellen; Timberg, Craig (16 de mayo de 2017). "Los funcionarios de la NSA estaban preocupados por el día en que su potente herramienta de piratería se volviera pública. Y así fue". Washington Post . ISSN  0190-8286 . Consultado el 19 de diciembre de 2017 .
7. Fox-Brewster, Thomas (12 de mayo de 2017). "Un arma cibernética de la NSA podría estar detrás de un brote masivo de ransomware global". Forbes . p. 1 . Consultado el 13 de mayo de 2017 .
8. Goodin, Dan (12 de mayo de 2017). "Un gusano ransomware derivado de la NSA está apagando computadoras en todo el mundo". Ars Technica . p. 1 . Consultado el 13 de mayo de 2017 .
9. Ghosh, Agamoni (9 de abril de 2017). "'Presidente Trump, ¿qué diablos estás haciendo?', dicen los Shadow Brokers y lanzan más herramientas de piratería de la NSA". International Business Times UK . Consultado el 10 de abril de 2017 .
10. "'NSA malware' publicado por el grupo de hackers Shadow Brokers". BBC News . 10 de abril de 2017 . Consultado el 10 de abril de 2017 .
11. Greenberg, Andy (7 de mayo de 2019). "El extraño viaje de un día cero de la NSA a manos de múltiples enemigos". Wired . Archivado desde el original el 12 de mayo de 2019. Consultado el 19 de agosto de 2019 .
12. Perlroth, Nicole; Scott, Mark; Frenkel, Sheera (27 de junio de 2017). «Cyberattack Hits Ukraine Then Spreads Internationally» (Un ciberataque golpea a Ucrania y luego se propaga a nivel internacional). The New York Times . p. 1 . Consultado el 27 de junio de 2017 .
13. "Exploit EternalBlue utilizado en la campaña del troyano bancario Retefe". Threatpost . Consultado el 26 de septiembre de 2017 .
14. "CVE-2017-0144". CVE - Common Vulnerabilities and Exposures (CVE: vulnerabilidades y exposiciones comunes) . The MITRE Corporation . 9 de septiembre de 2016. pág. 1. Consultado el 28 de junio de 2017 .
15. "Vulnerabilidad de ejecución de código remoto CVE-2017-0144 en Microsoft Windows SMB Server". SecurityFocus . Symantec . 14 de marzo de 2017. p. 1 . Consultado el 28 de junio de 2017 .
16. "Vulnerabilidad CVE-2017-0144 en SMB explotada por el ransomware WannaCryptor para propagarse por LAN". ESET Norteamérica. Archivado desde el original el 16 de mayo de 2017. Consultado el 16 de mayo de 2017 .
17. "Los funcionarios de la NSA se preocuparon por el día en que su potente herramienta de piratería se volviera pública. Y así fue". The Washington Post . Consultado el 25 de septiembre de 2017 .
18. Warren, Tom (15 de abril de 2017). «Microsoft ya ha solucionado los problemas de seguridad de Windows que se filtraron a través de la NSA». The Verge . Vox Media . p. 1 . Consultado el 25 de abril de 2019 .
19. "Boletín de seguridad de Microsoft MS17-010: crítico". technet.microsoft.com . Consultado el 13 de mayo de 2017 .
20. Cimpanu, Catalin (13 de mayo de 2017). "Microsoft lanza un parche para versiones anteriores de Windows para proteger contra Wana Decrypt0r". Bleeping Computer . Consultado el 13 de mayo de 2017 .
21. "Política de ciclo de vida de Windows Vista". Microsoft . Consultado el 13 de mayo de 2017 .
22. Newman, Lily Hay (12 de marzo de 2017). "La crisis del ransomware sobre la que advirtieron los expertos ya está aquí". wired.com . p. 1 . Consultado el 13 de mayo de 2017 .
23. Goodin, Dan (15 de mayo de 2017). "Wanna Decryptor: el gusano ransomware derivado de la NSA que está apagando computadoras en todo el mundo". Ars Technica UK . p. 1 . Consultado el 15 de mayo de 2017 .
24. Surur (13 de mayo de 2017). «Microsoft lanza un parche Wannacrypt para sistemas Windows XP, Windows 8 y Windows Server 2003 no compatibles» . Consultado el 13 de mayo de 2017 .
25. Equipo MSRC. "Guía para clientes sobre ataques WannaCrypt". microsoft.com . Consultado el 13 de mayo de 2017 .
26. "NSA Exploits portados para funcionar en todas las versiones de Windows publicadas desde Windows 2000". www.bleepingcomputer.com . Consultado el 5 de febrero de 2018 .
27. "Un año después de WannaCry, el exploit de EternalBlue es más grande que nunca". www.bleepingcomputer.com . Consultado el 20 de febrero de 2019 .
28. Perlroth, Nicole; Shane, Scott (25 de mayo de 2019). "En Baltimore y más allá, una herramienta robada de la NSA causa estragos". The New York Times .
29. Perlroth, Nicole (9 de febrero de 2021). Así es como me dicen que termina el mundo: la carrera armamentista de las armas cibernéticas . Bloomsbury.
30. Gallagher, Sean (28 de mayo de 2019). "Eternally Blue: Baltimore City leaders blame NSA for ransomware attack" (Eternamente azul: los líderes de la ciudad de Baltimore culpan a la NSA por el ataque de ransomware). Ars Technica .
31. Rector, Ian Duncan, Kevin (26 de mayo de 2019). "Los líderes políticos de Baltimore buscan información después de que se informara que la herramienta de la NSA se utilizó en un ataque de ransomware". baltimoresun.com .{{cite web}}: CS1 maint: varios nombres: lista de autores ( enlace )
32. "La necesidad de una acción colectiva urgente para mantener a las personas seguras en línea: lecciones del ciberataque de la semana pasada - Microsoft on the Issues". Microsoft on the Issues . 14 de mayo de 2017. Consultado el 28 de junio de 2017 .
33. Titcomb, James (15 de mayo de 2017). «Microsoft critica al gobierno de Estados Unidos por un ciberataque global». The Telegraph . p. 1 . Consultado el 28 de junio de 2017 .
34. Bass, Dina (16 de mayo de 2017). "Microsoft se quejó de ransomware y echó la culpa a la NSA". Bloomberg News . Consultado el 11 de marzo de 2022 .
35. Waters, Richard; Kuchler, Hannah (17 de mayo de 2017). "Microsoft retuvo un parche gratuito que podría haber ralentizado WannaCry". Financial Times . Consultado el 11 de marzo de 2022 .
36. "El nuevo gusano SMB utiliza siete herramientas de piratería de la NSA. WannaCry utilizó sólo dos".
37. "El ransomware 'EternalRocks', recientemente identificado, es más peligroso que 'WannaCry' - Tech2". Tech2 . 22 de mayo de 2017. Archivado desde el original el 4 de junio de 2017 . Consultado el 25 de mayo de 2017 .
38. "Miroslav Stampar en Twitter". Twitter . Consultado el 30 de mayo de 2017 .

Lectura adicional

• Grossman, Nadav (29 de septiembre de 2017). “EternalBlue: todo lo que hay que saber”.

Enlaces externos

• Boletín de seguridad de Microsoft MS17-010
• Entradas del catálogo de Microsoft Update para parches de EternalBlue
• CVE - 2017-0144 Entrada en el catálogo CVE