Shadow Brokers filtra otra herramienta de la NSA ¿se acerca otro WannaCry?

Shadow Brokers es un grupo de hackers ampliamente conocido por haberse hecho con diversas herramientas de hackeo de la NSA. Éstas se aprovechan de vulnerabilidades en los sistemas operativos que todos utilizamos y que están sin parchear (conocidas como de Día Cero). Entre estas herramientas se encuentra la que dio origen a WannaCry, y ahora podrían tener otra similar entre manos.

UNITEDRAKE: la nueva herramienta que podría generar problemas en empresas

Y es que WannaCry ha traído muchos dolores de cabeza en los últimos meses a grandes empresas de todo el mundo, sobre todo tras los ataques ocurridos en mayo y en junio El malware se creó a partir de una herramienta de la NSA que Shadow Brokers filtró a Internet después de que nadie se la comprase, llamada ETERNALBLUE. Esta herramienta, junto a otras, fue encontrada en un servidor en el probablemente la NSA se las dejase olvidadas después de realizar un ataque.

Esta herramienta, ofrecida a sus “suscriptores”, es conocida como UNITEDRAKE. Ésta es un implante de una herramienta de recolección de datos de manera remota que incluye una serie de plugins que permite a un ataque tomar el control total de un ordenador Windows a distancia.

A diferencia de lo que hace Wikileaks con las filtraciones de la CIA, Shadow Brokers revela tantos los manuales como las herramientas. Esto hace que prácticamente cualquier hacker pueda hacer uso de la herramienta, pudiendo llegar a provocar el caos como ya hizo WannaCry hace unos meses. El método de Wikileaks evita que las herramientas caigan en malas manos.

Tal y como está establecido en el manual filtrado, UNITEDRAKE es un malware modular capaz de capturar imágenes de la webcam, sonido del micrófono, pulsaciones del teclado, acceder a los discos duros del ordenador y prácticamente controlar cualquier aspecto del ordenador. Entre los componentes de la herramienta encontramos un servidor de control, la interfaz del malware, los módulos que permiten añadir más capacidades, y el cliente (el implante en sí).

Esta herramienta es totalmente real, y su nombre salió a la luz en las filtraciones de Edward Snowden en 2014. Esta herramienta se usaba de manera conjunta con otras herramientas para potenciar su daño, como:

CAPTIVATEDAUDIENCE: utilizada para grabar conversaciones a través del micrófono del ordenador infectado.
GUMFISH: para tomar el control de la webcam y poder hacer fotos con ella.
FOGGYBOTTOM: para obtener datos como historial del navegador y nombres de usuario y contraseñas de acceso.
GROK: un keylogger para capturar las pulsaciones del teclado.
SALVAGERABBIT: para acceder a datos en dispositivos USB extraíbles.

Shadow Brokers sigue intentando conseguir dinero con estos exploits, y actualmente piden hasta 4 millones de dólares en la criptomoneda ZCash (unos 16.000 ZEC), frente a los 25.000 dólares (100 ZEC) que pedían en junio. Para acceder a los archivos de UNITEDRAKE hay que pagar unos 124.000 dólares (500 ZEC).

De momento, no sabemos si Windows está totalmente actualizado frente a esta herramienta, ni si las versiones sin actualizar son vulnerables. Con una herramienta de este tipo de podrían volver a dar casos de ransomware.

Fuente: THN | adslzone