El exploit detrás de WannaCry ahora está siendo usado para robar datos a través de redes WiFi de hoteles en Europa

El exploit detrás de WannaCry ahora está siendo usado para robar datos a través de redes WiFi de hoteles en Europa
5 comentarios Facebook Twitter Flipboard E-mail

El caos provocado por WannaCry parece estar controlado, sin embargo sus vertientes son las que ahora empiezan a preocupar. Como sabemos, este ransomware nace del exploit 'EternalBlue' que fue publicado por 'The Shadow Brokers' como parte de las herramientas usadas por la NSA en tareas de espionaje y vigilancia masiva.

'EternalBlue' no sólo dio vida a WannaCry, sino también a 'NotPetya' y 'EternalRock', malware que usan aún más exploits de la NSA y son más potentes que WannaCry. Hoy, la firma de seguridad informática FireEye está dando a conocer que 'EternalBlue' está siendo utilizado nuevamente en un ataque ahora en contra de hoteles europeos, donde a través de las redes WiFi se están robando datos de los huéspedes.

Un vistazo a…
Cómo mejorar la WiFi en casa

'GameFish' de APT28

FireEye apunta a que este es obra del grupo de hackers APT28, también conocido como Fancy Bear, el cual está vinculado con los ataques a las elecciones presidenciales de los Estados Unidos. APT28 se trata de una organización de crackers que está relacionada con la inteligencia militar rusa.

Este nuevo malware bautizado como 'GameFish' se aprovecha de una vulnerabilidad de seguridad dentro del protocolo de red del Server Message Block (SMB) de Windows, el cual permite acceder a toda la red de una forma relativamente sencilla y sin llamar la atención.

Fig1
Hotel_Reservation_Form.doc

El proceso de ataque comienza con una campaña de phishing dirigida a cadenas hoteleras, donde hasta el momento se ha detectado en siete países europeos y uno de Medio Oriente. El correo electrónico incluye el documento 'Hotel Reservation From.doc' el cual contiene un macros que al ejecutarse despliega e instala 'GameFish' en toda la red el hotel. El malware se abre camino y localiza los ordenadores responsables del control de las redes WiFi, y una vez en ellos se hace con el control de todo el tráfico que pasa a través de ellas, tanto internas como las destinadas a huéspedes.

Se cree que el objetivo de este malware es obtener información de huéspedes relacionados con el gobierno y empresas importantes, ya que con este control de redes es posible extraer las credenciales de cualquier persona. La ventaja (o desventaja) es que sólo pueden acceder a métodos de autenticación que tengan no activados los dos pasos, ya sea por SMS o por medio de otra aplicación o dispositivo, lo que hace que algunos datos aún permanezcan seguros.

Wifi Hotel 2

Este ataque coincide en algunas cosas con 'DarkHotel', un malware similar que se desplegó en algunos hoteles el año pasado, pero que no se basaba en 'EternalBlue'. FireEye menciona que a pesar de las similitudes ambos ataques no están relacionados, ya que se encontró que 'DarkHotel' sólo atacó objetivos coreanos. Por otro lado, mientras que GameFish ha sido creado para recolectar contraseñas, DarkHotel se centraba en modificar actualizaciones de software.

Hasta el momento no hay manera sencilla de detener el avance de GameFish cuando ya está instalado, por lo que se recomienda evitar las redes WiFi gratuitas cuando sea posible, o al menos no acceder a contenido sensible a través de ellas.

En Xataka | The Shadow Brokers: su historia desde el hackeo a la NSA hasta la venta de "exploits" por suscripción mensual

Comentarios cerrados
Inicio