Inicio Actualidad WannaCry se dedica ahora a robar datos de las conexiones Wi-Fi de...

WannaCry se dedica ahora a robar datos de las conexiones Wi-Fi de los hoteles

WannaCry parece volver a las andanzas después de una temporada de paz.

0
Compartir

Después de una tempestad provocada por WannaCry en mayo, la bonanza parecía reinar. Sin embargo, sus vertientes vuelven a preocupar de nuevo. Se sabe que este ransomware nació del exploit “EternalBlue” y que fue publicado por el grupo “The Shadow Brokers” como parte de las herramientas utilizadas por la NSA en las tareas de espionaje y vigilancia mundial.

Los hoteles son ahora el objetivo de los rusos

El “Eternal Blue” no solamente dio vida al WannaCry, sino que también creó el “NotPetya” y el “EternalRock. Esta semana, la empresa de seguridad informática FireEye dio a conocer el “EternalBlue”, que está siendo usado para atacar los hoteles de Europa y, a través de la red Wi-Fi, está robando los datos de sus huéspedes.

”GameFish” de los hackers APT28

FireEye apunta que detrás de este ataque está el grupo de hackers APT28, también conocido como Fancy Bear, el mismo grupo que fue acusado como responsable de los ataques en las elecciones presidenciales de los Estados Unidos. El APT28 es un grupo criminoso de “hackers” que está relacionado con la inteligencia militar rusa. Este nuevo malware, bautizado como “GameFish”, se aprovecha de una vulnerabilidad de seguridad dentro del protocolo de red del Server Message Block (SMB) de Windows, el cual permite acceder a toda la red de una forma relativamente fácil y sin llamar la atención.

¿Cómo funciona el ataque?

Este ataque tiene algunas particularidades propias. El ataque empieza con la tradicional campaña de phishing que, en este caso, fue dirigida a las cadenas de hoteles donde, hasta el momento, fueron detectados casos en siete países europeos y uno en el Medio Oriente.

Al email llega un documento con el anexo “Hotel Reservation From.doc” que contiene macros que ejecutan una instalación del “GameFish” en el ordenador y se expande por toda la red local del hotel. El malware abre su camino y localiza los ordenadores responsables por el control de las redes Wi-Fi y, tras ganar control sobre los PCs, pasan a controlar el tráfico que pasa por esta red, tanto los datos administrativos del hotel como los datos de los usuarios que están navegando en dicha red.

Los especialistas de seguridad creen que el objetivo de este malware es obtener información de los huéspedes relacionados con el gobierno y empresas importantes, usando el control de la red para extraer las credenciales de seguridad de cada persona. La ventaja (o desventaja) es que solo se puede tener acceso a quienes no tienen activado el método de autenticación de dos pasos. De esa forma la víctima recibirá un SMS o una notificación a través de una app (como es el caso de la autenticación de Google o de Apple, por ejemplo) para confirmar el permiso de acceso y, desde ahí, puede parar el ataque. De esta forma, sus datos permanecerán seguros.

Este ataque coincide en algunos puntos con el “DarkHotel”, un malware similar que se propagó en algunos hoteles el año pasado. La empresa de seguridad FireEye menciona que a pesar de estas similitudes, ambos ataques no están relacionados, ya que se ha descubrió que el malware “DarkHotel” solamente atacó en Corea. Por otra parte, mientras el GameFish fue creado para recoger contraseñas, el DarkHotel se enfocó en modificar las actualizaciones de software.

Hasta el momento no existe ninguna forma fácil de detener el avance del GameFish, a partir del momento en que este malware ya se encuentra instalado. Así, la empresa recomienda que se eviten redes Wi-Fi gratuitas siempre que sea posible y que, en caso de que sean usadas estas redes, se evite acceder a contenidos sensibles e importantes a través de ellas.

Fuente: FireEye

Dejar una respuesta

Please enter your comment!
Please enter your name here