Guardicore Labs dio a conocer el viernes pasado nuevos detalles de una campaña de ataque masivo denominada Indexsinas (también conocida como “NSABuffMiner”) que vulnera redes a través de servidores SMB y hace un agresivo uso del movimiento lateral para propagarse. La campaña de ataque apunta a servidores Windows vulnerables a EternalBlue (MS17-010) y aún está infectando máquinas en todo el mundo.
La propagación se logra mediante la combinación de un escáner de puertos de código abierto y tres Explotaciones de Equation Group: EternalBlue, DoublePulsar y EternalRomance. Estos exploits son utilizados para vulnerar nuevas máquinas víctimas, obtener acceso privilegiado e instalar puertas traseras. Estos exploits parecen seguir teniendo un gran éxito a pesar de que se hicieron públicos hace cuatro años después de su primera aparición en los ciberataques de WannaCry y NotPetya.
Los ataques se originaron en más de 1300 fuentes diferentes, y cada máquina es responsable de solo algunos incidentes de ataque. Los IP de origen, que probablemente sean víctimas de los propios ataques, son principalmente ubicados en los EE. UU., Vietnam e India. El análisis de estos IP demuestra que varios sectores fueron infectados por Indexsinas incluyendo hoteles, universidades, centros médicos, gobierno, agencias y empresas de telecomunicaciones.
Los atacantes de Indexsinas son cuidadosos y calculados. La campaña ha estado funcionando durante años, con el mismo dominio de comando y control, alojado en Corea del Sur.
El análisis de estos IP demuestra que varios sectores fueron infectados por Indexsinas incluyendo hoteles, universidades, centros médicos, gobierno, agencias y empresas de telecomunicaciones.