Las recientes incidencias de ransomware han sido atribuidas en parte a herramientas de hackeo de la NSA, en particular al exploit EternalBlue. En la mayoría de los casos, estas herramientas sólo podían ser utilizadas contra versiones obsoletas del sistema operativo Windows. Sin embargo, experto en seguridad informática ha logrado utilizar una versión modificada del exploit EternalSynergy contra versiones más recientes de Windows.
Como parte de su labor, la agencia nacional de seguridad de Estados Unidos (NSA) ha diseñado herramientas, o exploits, que aprovechan el debilitado protocolo SMB utilizado en algunas versiones del sistema operativo de Microsoft, ya que está expuesto a conexiones externas. Desde que el grupo autodenominado Shadow Brokers diera a conocer estas vulnerabilidades a la opinión pública, diversos grupos de delincuentes, y posiblemente organizaciones estatales, han realizado campañas de ransomware similares a WannaCry.
EternalSynergy es una de las herramientas de la NSA incluida en las revelaciones de The Shadow Brokers. Microsoft ha asegurado que EternalSynergy no funciona con las últimas versiones de Windows debido a mejoras realizadas en el kernel del sistema operativo. Sin embargo, según Worawit Wang, experto en seguridad informática, ha logrado adaptar la herramienta a versiones más recientes de Windows. La versión modificada de EternalSynergy ataca la misma vulnerabilidad de SMB, aunque utilizando una técnica diferente.
La nueva versión de EternalSynergy afecta una larga lista de versiones de Windows, incluyendo Windows 8.1. En Reddit, Wang asegura que, por ahora, los usuarios de Windows 10 están protegidos, pero que “esto podría cambiar”. Con ello, alrededor del 75% de todas las computadoras operadas con Windows en todo el mundo son vulnerables a la nueva versión de EternalSynergy.
Wang optó por distribuir la herramienta a todo interesado en descargarla vía GitHub, junto con una descripción de cómo utilizarla contra computadoras vulnerables. Por lo tanto, todo usuario que aún no haya implementado la actualización de seguridad MS 17010 de Microsoft es vulnerable a potenciales ataques.
