Wikileaks ha revelado información sobre Brutal Kangaroo, un malware capaz de entrar en un ordenador sin Internet.

Normalmente asociamos al malware y otro tipo de programas malignos con Internet; al fin y al cabo, Internet es el vector de ataque más común y sencillo. Si un ordenador está conectado a la red, es perfectamente posible hacer que descargue código malicioso, sólo es cuestión de intentarlo.

Air-gap, una medida de seguridad que aísla los sistemas más importantes

¿Eso significa que protegerse contra el malware es algo tan sencillo como desconectarnos de Internet? En absoluto. De hecho, durante mucho tiempo, antes de la popularización de Internet, se usaban otros métodos para atacar sistemas.

servidor

Y se siguen usando, por supuesto. Wikileaks nos lo ha recordado con la última publicación de Vault 7, el proyecto para librar archivos filtrados de la CIA. La última revelación ha sido cómo funciona Brutal Kangaroo (“Canguro brutal”), un malware capaz de entrar en un ordenador sin Internet.

Es normal que en organizaciones y empresas existan una medida de seguridad llamada “air gap”; consiste en desconectar ordenadores y redes de Internet para que no haya riesgo de que entren hackers. Normalmente estos sistemas están restringidos a ciertas personas dentro de la organización, así que no es fácil entrar.

El malware capaz de entrar en un ordenador sin Internet

Brutal Kangaroo es un malware diseñado especificamente para esas situaciones, aprovechando las conexiones USB de los sistemas; pero no es simplemente un malware que se instala en una memoria USB, es mucho más completo.

brutal kangaroo malware 1

La clave está en que no se ataca el ordenador objetivo directamente; puede ser más fácil infectar un ordenador en el mismo lugar que no tenga un nivel de seguridad tan alto.

Este infectado inicial funciona como una base desde la que lanzar ataques; a partir de entonces, cada vez que alguien inserte una memoria USB en el infectado, el malware copiará una versión de si mismo adaptada a estos dispositivos.

brutal kangaroo malware 2

Esta versión es la segunda etapa del malware, y se basa en archivos de accesos directo maliciosos que se ejecutan automáticamente en cuanto son cargados en el explorador de archivos.

Como conseguir datos de unos sistemas “air-gapped” es cuestión de suerte, los agentes pueden mejorar la eficiencia coordinando diferentes infecciones diferentes en las mismas redes; al generar nuevos malware, es más probable que uno de ellos acabe infectando el ordenador objetivo.

brutal kangaroo malware 3

Es de esperar que los principales creadores de antivirus estén muy pendientes de estas publicaciones de Wikileaks. De hecho, algunos antivirus como Avira, Bitdefender y Symantec ya detectaban Brutal Kangaroo al menos desde principios de 2016, cuando el manual fue escrito.

Noticias relacionadas