¿Qué son los Shadow Brokers y por qué son peligrosos?

La firma tecnológica Trend Micro ha revelado que el 14 de abril, el grupo de hackers Shadow Brokers filtró varias herramientas de hacking y exploits dirigidas a sistemas y servidores que ejecutan Microsoft Windows y parece ser que los ataques pueden ser dirigidos a organizaciones financieras de todo el mundo.

El grupo de hacking inicialmente puso el malware robado a la venta el año pasado, pero tras su fracaso, lo ha ideo liberado paulatinamente desde entonces. Según un comunicado de prensa de los expertos en seguridad, “el último lanzamiento de malware lanzado por Shadow Brokers permite a los atacantes romper sistemas (incluyendo Linux), redes y firewalls”. Este grupo es conocido porque se cree que fue el mismo grupo que consiguió entrar en los archivos de la NSA o Angencia

Los análisis iniciales (y en curso) de Trend Micro encontraron más de 35 troyanos que robaban información incluidos en esta última fuga. Otros exploits abordados por Microsoft fueron “ErraticGopher“, arreglado antes del lanzamiento de Windows Vista, así como “EternalRomance” y “EternalSynergy”.

Algunas de las herramientas de hacking encadenan varios fallos de seguridad para ejecutar el exploit. Muchos de estos exploits son relativamente antiguos, y algunos datan de 2008, para los que parches y correcciones han estado disponibles durante mucho tiempo.

El equipo del Centro de Respuesta de Seguridad de Microsoft (MSRC) emitió rápidamente una advertencia de seguridad detallando los parches/correcciones que son blanco de los exploits confirmados en la última descarga de Shadow Brokers.

¿Qué significa para las empresas? El parche desempeña un papel vital en la lucha contra estas amenazas. Muchos de estos exploits de la última descarga de Shadow Broker se aprovechan de vulnerabilidades que las empresas pueden evitar razonablemente, dada la disponibilidad de sus soluciones o parches, tal y como dicen los voceros de Trend Micro.

A la inversa, siguen siendo amenazas creíbles para muchas organizaciones, en particular aquellas que ejecutan sistemas y servidores en Windows 8 (versiones 8 y 8.1), XP, Vista, 2000 y Windows Server 2008. Para las empresas que utilizan Windows Server 2003, el riesgo es extremo, puesto que Microsoft ya concluyó el soporte para el sistema operativo hace dos años.

“Los administradores de TI/sistemas pueden desplegar cortafuegos, así como sistemas de prevención y detección de intrusiones que pueden inspeccionar y validar el tráfico entrante y saliente del perímetro de la empresa, al tiempo que evitan que el tráfico sospechoso o malicioso entre en la red”, según un comunicado de prensa de la firma experta.