La puerta trasera DOUBLEPULSAR permite a los atacantes inyectarse y ejecutar código malicioso en un sistema de destino, se instala aprovechando el ETERNALBLUE, una vulnerabilidad SMBv1 (Server Message Block 1.0) que podría desencadenar un RCE en versiones anteriores de Windows (Windows XP a Server 2008 R2 ).
Al investigar la amenaza de seguridad investigador MalwareTech descubrió la presencia de un "Kill Switch" en el código fuente del malware que una vez activado se detendrá su difusión.
El experto descubrió que el malware comprueba la presencia de un dominio específico para iniciar el proceso de infección, entonces MalwareTech registró el dominio que hunde el código malicioso.
En este punto, algo cambió porque el atacante tomó su contramedida para desactivar el interruptor Kill.
El investigador de seguridad y analista de malware, Luciano Martins está advirtiendo de la presencia de una nueva variante del temido ransomware que no tiene Kill-Switch en su código.
Martins explica que es demasiado pronto para hablar de una versión de WannaCry 2.0, de todos modos los expertos creen que los actores de amenaza en la naturaleza podrían mejorar la amenaza.
Si una variante sin Kill Switch se utilizará en una nueva campaña, es bastante sencillo especular sobre una situación difícil de contener debido al gran número de sistemas sin parches.
Los próximos ataques son inevitables, simplemente puedes parchear las muestras existentes con un editor hexadecimal y seguirá propagándose. Veremos una serie de variantes de este ataque en las próximas semanas y meses, por lo que es importante para los anfitriones parche ". Matthew Hickey, un experto en seguridad y co-fundador de Hacker House dijo The Hacker News.
Cientos de miles de sistemas sin parches aún están expuestos en Internet y son vulnerables al ataque de ransomware de WannaCry. Este último ataque se basó exclusivamente en la explotación de SMB, pero un posible escenario de ataque futuro ve la amenaza de propagación a través de phishing o ataques de descarga.
"El gusano puede modificarse para difundir otras cargas no sólo Cry y podemos ver otras campañas de malware que se aprovechan de este éxito de muestras", añadió Hickey.
Microsoft tomó un paso inusual para proteger a sus clientes, la compañía lanzó parches para Windows Server 2003 (SP2 x64 / x86); Windows XP (SP2 x64, SP3 x86); Windows XP Embedded (SP3, x86); Así como las versiones de 32 bits y 64 bits de Windows 8.
Otroas paginas que puedes visitar: