Desde que EternalBlue fue publicado, ¿no lo ha utilizado nadie más, sólo los creadores de WannaCry? Antes de contestar a esa pregunta, echemos un vistazo a la historia de la vulnerabilidad que ha dado lugar al exploit de EternalBlue.

25 de octubre de 2001: Microsoft lanza el sistema operativo Windows XP, uno de los mayores éxitos de la historia de la compañía. Contiene, sin que nadie lo supiera, un crítico agujero de seguridad que ha sido heredado por el resto de versiones del sistema operativo.

14 de marzo de 2017: Microsoft publica una actualización que soluciona dicha vulnerabilidad (MS17-010)

14 de abril de 2017: el grupo Shadow Brokers publica el exploit EternalBlue, parte del ciber-arsenal de la NSA para aprovecharse del agujero de seguridad.

12 de mayo de 2017: Aparece WannaCry, un gusano de red que utiliza el ataque de EternalBlue para propagarse y además ejecuta ransomware en las máquinas atacadas

WannaCry está recibiendo toda la atención, pero no es el primer ataque en usar el EternalBlue exploit, y probablemente no sea el último. De hecho, tras un minucioso análisis de PandaLabs, hemos obtenido evidencias de que al menos un grupo de ciberdelincuentes lleva aprovechando dicha vulnerabilidad desde el pasado 24 de Abril de 2017, semanas antes de la aparición de WannaCry.

Los atacantes han utilizado el agujero de seguridad para colarse en ordenadores ajenas, pero en lugar de malware han usado otras tácticas diferentes.

Tras lanzar con éxito el exploit a través del protocolo de SMB, los asaltantes usan código de kernel para inyectarse en el proceso “lsass.exe”, que siempre está presente en los sistemas Windows. Al contrario que en el caso de WannaCry, donde directamente inyectaban el malware en el proceso, aquí lo utilizan de una forma completamente diferente:

A través de este proceso, los atacantes hacen gala de un amplio despliegue de comandos para garantizarse la persistencia en el mismo. La mayoría de las acciones son llevadas con utilidades del propio Windows o herramientas no maliciosas, imposibilitando la detección por parte de los antivirus tradicionales.

Así por ejemplo crean un nuevo usuario, descargan componentes de herramientas que van a utilizar, matan versiones anteriores de herramientas que habían instalado previamente, se meten en el autorun para conseguir persistencia, crean tareas programadas…

Herramienta de análisis de comportamiento de aplicaciones de Panda Adaptive Defense.

También hemos podido comprobar una evolución en las acciones realizadas por el grupo. Por ejemplo, tras ganar el control, el grupo cerraba el puerto 445 para impedir que otros “actores” se pudieran beneficiar de la vulnerabilidad MS17-010.

 

Paradójicamente, este hecho ha podido evitar que más equipos se infectaran con WannaCry.

Una de las finalidades del ataque era la instalación de software para la minería de moneda virtual. La criptomoneda usada es “Monero”, que guarda similitudes con el más conocido Bitcoin.

Aquí último vemos cómo se instala como servicio y lanza el ejecutable de minado:

 

Destacar que, entre otras muchas tecnologías, Adaptive Defense dispone de detección genérica de BitcoinMiners por comportamiento