Los delincuentes en línea de todo el mundo han comenzado a explotar las herramientas de hacking de la NSA que se filtraron el pasado fin de semana para comprometer cientos de miles de computadoras con sistemas operativos Windows vulnerables expuestas en Internet.

La semana pasada, el misterioso grupo de hacking conocido como Shadow Brokers filtraron un conjunto de herramientas de hacking de Windows dirigidas a los sistemas operativos Windows XP, Windows Server 2003, Windows 7, Windows 8 y Windows 2012, supuestamente pertenecientes al grupo Equation de la NSA.

¿Que es peor? Microsoft minimizó rápidamente los riesgos de seguridad al liberar parches para todas las vulnerabilidades explotadas, pero aún existen riesgos activos en el mundo real (in the wild), con sistemas no compatibles, así como con aquellos que aún no han instalado los parches.

Múltiples investigadores de seguridad han realizado análisis en masa de Internet en los últimos días y han encontrado en todo el mundo decenas de miles de computadoras con sistemas operativos Windows infectadas con DoublePulsar, un software de espionaje sospechoso de ser parte de los implantes de la NSA, este es el resultado de una herramienta gratuita lanzada en GitHub para que cualquiera pueda usarla.

Los investigadores de seguridad de la firma de seguridad Binary Edge con sede en Suiza realizaron una exploración de Internet y detectaron más de 107.000 computadoras con SO Windows infectadas con DoublePulsar.

Un análisis separado realizado por el CEO de Errata Security, Rob Graham, detectó aproximadamente 41.000 máquinas infectadas, mientras que otro de investigadores de Below0day detectó más de 30.000 máquinas infectadas, la mayoría de las cuales se encontraban en Estados Unidos.

¿El impacto? DoublePulsar es una puerta trasera utilizada para inyectar y ejecutar código malicioso en sistemas ya infectados, y se instala utilizando el exploit EternalBlue que se dirige a los servicios de intercambio de archivos SMB desde Microsoft Windows XP a Server 2008 R2.

Por lo tanto, para comprometer una máquina, debe estar ejecutando una versión vulnerable de los sistemas operativos Windows con una exposición del servicio SMB al atacante.

Tanto DoublePulsar como EternalBlue son sospechosos de ser herramientas del grupo Equation y ahora están disponibles para que cualquier persona las descargue y use contra equipos vulnerables.

Una vez instalado, DoublePulsar usó computadoras secuestradas para lanzar malware, spam de usuarios en línea, y lanzar ataques cibernéticos contra otras víctimas. Para permanecer furtivo, la puerta trasera no escribe ningún archivo en las PC que infecta, lo que impide que se mantenga después de reiniciar una PC infectada.

Mientras que Microsoft ya ha reparado la mayoría de los defectos explotados en los sistemas operativos Windows afectados, los que no han instalado los parches son vulnerables a exploits como EternalBlue, EternalChampion, EternalSynergy, EternalRomance, EmeraldThread y EducatedScholar.

Por otra parte, los sistemas operativos que siguen utilizando plataformas con fin-de-vida como Windows XP, Windows Server 2003 y IIS 6.0, que ya no reciben actualizaciones de seguridad, también son vulnerables a los exploits activos en el mundo real.

Debido a que los hackers necesitan unas pocas horas para descargar el volcado de Shadow Brokers, explorar Internet con la herramienta lanzada el lunes y entregar ataques de hacking, los investigadores esperan más equipos vulnerables y sin parchear a caer a víctimas de DoublePulsar.

Después de que esta noticia se hizo pública, los funcionarios de Microsoft publicaron un comunicado diciendo: “Dudamos de la exactitud de los informes y estamos investigando”.

Mientras tanto, los usuarios de los sistemas operativos Windows que no han aplicado los parches publicados en MS17-010 se les recomienda encarecidamente descargarlos e implementarlos lo antes posible.

Fuente: The Hacker News

Anuncios