Ataque cibernético en Europa con EternalBlue de WannaCry

Publicado el Por Notimundo
Ataque cibernético en Europa con EternalBlue de WannaCry
EternalBlue: Ataques cibernéticos contra huéspedes

Acusan a un grupo de hackers por utilizar en virus llamado EternalBlue de WannaCry que ataca a los huéspedes de los hoteles de toda Europa; anteriormente habían sido señalados por intromisión de la campaña electoral en EU.

Investigadores de Fire Eye ha lanzado una campaña de denuncia, en la que afirma que los atacantes, pertenecientes a una organización llamada APT28, roban las credenciales de los huéspedes de hoteles que se conectan a Internet vía Wi-Fi. Esta organización, también llamada Fancy Bear, ha sido vinculada por muchas empresas de seguridad a la inteligencia militar rusa.

El ataque explora la vulnerabilidad de seguridad EternalBlue, que aprovecha la versión del protocolo de red de Server Message Block (SMB) de Windows, y se extiende mediante las redes. Esta hazaña, supuestamente conocida por los servicios de inteligencia de los estados unidos, es utilizada por el servicio de inteligencia americano NSA para labores de vigilancia, y fue filtrada por el grupo de hackers Shadow Brokers.

Con la información sobre la vulnerabilidad hecha pública, era cuestión de tiempo para que un grupo de criminales decidiera aprovecharla, tal como sucedió con la gran escalada de WannaCry y Petya. Así mismo, se ha afirmado, que otro grupo de criminales busca usar EternalBlue para crear su propio malware, sin embargo, es la primera vez que ATP28 trata de hacerlo.

Una vez implementado GameFish e instalado en la red, utiliza Eternal Blue para encontrar los ordenadores que controlan las redes Wi-Fi internas e invitadas. Una vez controlados los ordenadores, el malware implementa una herramienta de código abierto para robar cualquier clave o credencial enviada mediante la red inalámbrica.

Este hecho ilícito ocurrió cuando el presidente iniciaba su campaña, ahora se aprovecha de la vulnerabilidad de Windows con el ransomware WannaCry y Petya convertirse en armas poderosas.

Estos ataques son similares a los perpetrados por una campaña informática criminal llamada DarkHotel, que igualmente se aprovecha de las vulnerabilidades de las redes del sector hotelero para perpetrar sus crímenes. Sin embargo, los investigadores han afirmado que a pesar de las similitudes, ambas campañas no tienen ninguna vinculación directa.

Se informa que el ataque se produjo  a través de una campaña de “pishing”, dirigida a varios hoteles en siete países de Europa y un país del Medio Oriente, que reciben correos electrónicos que comprometen sus redes. Estos correos contienen un mensaje que dice: “Hotel_Reservation_From.doc” que contiene un archivo que al ser ejecutado decodifica el GameFish, nombre que atribuyeron los investigadores al malware de APT28.