Cuidado con EternalBlue: una nueva oleada de ataques ha comprometido ya más de 45.000 routers y 1.7 millones de dispositPuertos router vulnerable
EternalBlue ha sido una de las peores amenazas que hemos podido ver en la historia de la informática. Esta amenaza fue creada, en forma de exploit, por la NSA a partir de una vulnerabilidad en el protocolo SMB de Microsoft. Cuando se filtró este exploit no tardaron en aparecer amenazas más complejas que se aprovechaban de esta vulnerabilidad, como WannaCry, quien puso en jaque la seguridad informática de todo el mundo en cuestión de horas. Ha pasado un año y medio desde que esta amenaza asoló las redes, y a día de hoy sigue siendo un peligro para todos los usuarios.
Hace algunas horas, la empresa de telecomunicaciones Akamai ha dado a conocer una ingeniosa campaña de malware que está teniendo lugar en estos momentos en todo el mundo: UPnProxy. Esta técnica está siendo utilizada por piratas informáticos para explotar los servicios UPnP de algunos routers para alterar las tablas NAT de los mismos en forma de redirecciones (proxy) que permiten a los piratas informáticos conectarse a los puertos SMB (139 y 445) de los ordenadores conectados a dicho router afectado.
Akamai cree que actualmente hay 277.000 routers vulnerables conectados a la red, y de todos ellos más de 45.000 ya han sido alterados y comprometidos con esta técnica. Esta empresa de telecomunicaciones confirma millones de conexiones no autorizadas con éxito en los 45.000 routers ya infectados, lo cual supone que los piratas informáticos han intentado explotar y comprometer 1.7 millones de dispositivos conectados a estos routers.
No se sabe muy bien qué hacen los piratas informáticos una vez conectados a los routers vulnerables, aunque todo apunta a que podría estar relacionado con NotPetya, un ransomware basado en EternalBlue que en las últimas semanas ha mostrado nuevos brotes en Estados Unidos. Además, puede que los piratas informáticos hayan hecho modificaciones al exploit original de EternalBlue para hacerlo capaz de infectar equipos Linux a través de SAMBA (exploit conocido como EternalRed).
Cómo proteger nuestros sistemas de EternalBlue y todos los ataques por SAMBA
A pesar de ser una vulnerabilidad absurda y protegerse de ella es tan fácil como tener el sistema actualizado o deshabilitar las versiones más antiguas de SMB (que deberían estar desactivadas si tenemos Windows actualizado o si el departamento informático de una empresa es competente), EternalBlue aún sigue siendo una de las herramientas favoritas por los piratas informáticos, tanto para el ransomware como para el malware de minado de criptomonedas.
Akamai cataloga estos ataques informáticos de “oportunistas”, es decir, que no tienen un fin mayor, sino que los piratas solo están buscando a ver dónde pueden atacar, al azar, sin un objetivo concreto.
Aunque los piratas informáticos consiguieran conectarse a nuestra red para llevar a cabo este ataque informático, si tenemos SMBv1 deshabilitado en nuestros ordenadores, la última versión de Windows 10 instalada en nuestro ordenador y todas las actualizaciones de seguridad en nuestro PC y demás dispositivos conectados a la red no tendremos de qué preocuparnos, EternalBlue, EternalSilent o cualquier otro exploit de la NSA para infectar equipos a través de SMB no serán efectivos.
Además, Akamai también ha publicado un informe donde explica cómo eliminar las entradas NAT generadas por los piratas informáticos en caso de que nuestro router se haya visto comprometido. Aunque eliminemos estas entradas NAT del router, no podemos confiar en él para proteger nuestro ordenador, por lo que tendremos que hacerlo nosotros manualmente como hemos explicado en el párrafo anterior.