Conecta con nosotros

Noticias

Los hackers aprenden de WannaCry y Petya para dar más potencia a su malware

Publicado el

Las consecuencias de los ataques sufridos por miles de empresas y organismos oficiales en todo el mundo a causa de los ransomware WannaCry y Petya han atraído la atención no sólo de los expertos en seguridad de todo el mundo. También de los que se dedican al desarrollo de malware, que han detectado en ambos ataques unas pautas que, combinadas con su malware, puede desembocar en unos ataques más potentes.

Un ejemplo de esto es lo que están haciendo los desarrolladores del malware encargado del robo de credenciales bancarias Trickbot, que desde el año pasado ha atacado varias entidades financieros y, que según ZDNet, hace poco que ha añadido varios bancos británicos y estadounidenses a su lista de víctimas.

Trickbot se ha caracterizado hasta ahora por atacar a pocos objetivos, pero muy seleccionados, y se extiende a través de mensajes de correo electrónico escritos por alguien que pretende trabajar para una entidad financiera internacional y que guía a la víctima a una página de conexión a un servicio falsa, que se utiliza para robar sus credenciales de acceso al sistema. Pero sus creadores no estaban del todo satisfechos con el resultado, y han comenzado a probar otras versiones de su malware con las técnicas utilizadas por WannaCry y Petya para expandirse rápidamente por todo el planeta.

Para ello, según han detectado varios expertos e investigadores de Flashpoint, los desarrolladores de Trickbot están probando una nueva versión, a la que denominan 1000029, que puede expandirse a través de SMB (Server Message Block, o Bloque de Mensajes de Servidor), tal como sucedió con el exploit que permitió la expansión de WannaCry y Petya.

El culpable de la expansión de ambos fue un agujero de seguridad de Windows denominado Eternal Blue, y a través del uso de SMB, los creadores de Trickbot han conseguido que este malware sea capaz de escanear dominios para localizar listas de servidores a través de la API de Windows NetServerEnum. También de detectar qué ordenadores de una red son susceptibles de poder ser atacados.

El malware derivado de Trickbot también utiliza la comunicación entre procesos para propagarse y ejecutar un script para descargar una versión adicional del malware, disfrazada como setup.exe, al disco compartido del sistema.

Según parece, hasta ahora, los responsables del desarrollo de esta versión del malware Trickbot no parecen haber conseguido desarrollarlo por completo. Tampoco tiene aún la capacidad de escanear al azar IPs externas con el objetivo de establecer conexiones SMB, a diferencia de lo que sucedía con WannaCry. Eso sí, los expertos e investigadores avisan de que su desarrollo demuestra que trabajo que realizan los desarrolladores que trabajan para los ciberciminales o que se dedican directamente al desarrollo de herramientas para cometer delitos online y realizar ataques es muy profesional y está en constante evolución.

Si los hackers consiguen desarrollar por completo el gusano que permita la extensión masiva de Trickbot, podría infectar ordenadores que están en la misma red que la máquina en la que se instala en primer lugar a través de un correo electrónico que lleva a una web falsa en la que introducir credenciales de acceso a un servicio, lo que podría desembocar en el robo de más credenciales y datos. También podrían hacer que se interconectasen todas las redes infectadas para convertirlas en una botnet para la expansión y difusión de malware.

Trickbot no es tan prolífico en ataques y consecuencias desastrosas como WannaCry o Petya, pero si consigue evolucionar, tal como lo ve el Director de Investigación de Flashpoint, Vitali Kremez, “aunque el módulo del gusano parezca estar en un estado bastante primitivo en la actualidad, es evidente que los creadores de Trickbot han aprendido de los ataques globales de ransomware de tipo gusano WannaCry y NotPetya y que están intentando replicar sus métodos“.

Top 5 cupones

Lo más leído

Suscríbete gratis a MCPRO

La mejor información sobre tecnología para profesionales IT en su correo electrónico cada semana. Recibe gratis nuestra newsletter con actualidad, especiales, la opinión de los mejores expertos y mucho más.

¡Suscripción completada con éxito!