DoublePulsar

DoublePulsar es una herramienta de implantación de puerta trasera desarrollada por Equation Group de la Agencia de Seguridad Nacional (NSA) de EE. UU. que fue filtrada al público por The Shadow Brokers a comienzos de 2017.^[1] Esta herramienta infectó más de 200,000 ordenadores únicos con Windows de Microsoft en unas cuantas semanas, y fue utilizado junto a EternalBlue en el ataque de ransomware WannaCry de mayo de 2017.^[2]^[3]^[1]^[4]^[5]^[6]^[7]^[8]

Sean Dillon, analista experto de la compañía de seguridad RiskSense Inc., fue el primero que diseccionó e inspeccionó DoublePulsar.^[9]^[10] Dijo que los exploits de la NSA son "10 veces peores" que el fallo de seguridad Heartbleed, y que usaban DoublePulsar como despliegue primaria. DoublePulsar se ejecuta en modo kernel, lo cual concede a los cibercriminales un nivel alto de control sobre el sistema.^[3] Una vez instalado, utiliza tres órdenes: ping, kill, y exec, el último de los cuales puede usarse para cargar malware al sistema.^[9]

Referencias editar

↑ ^a ^b «DoublePulsar malware spreading rapidly in the wild following Shadow Brokers dump». 25 de abril de 2017. Archivado desde el original el 21 de junio de 2017. Consultado el 25 de marzo de 2019.
↑ Sterling, Bruce. «Double Pulsar NSA leaked hacks in the wild».
↑ ^a ^b «Seriously, Beware the ‘Shadow Brokers’». 4 de mayo de 2017.
↑ «Wana Decrypt0r Ransomware Using NSA Exploit Leaked by Shadow Brokers Is on a Rampage».
↑ «>10,000 Windows computers may be infected by advanced NSA backdoor».
↑ Cameron, Dell. «Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It».
↑ Fox-Brewster, Thomas. «How One Simple Trick Just Put Out That Huge Ransomware Fire».
↑ «Player 3 Has Entered the Game: Say Hello to 'WannaCry'». blog.talosintelligence.com. Consultado el 15 de mayo de 2017.
↑ ^a ^b «DoublePulsar Initial SMB Backdoor Ring 0 Shellcode Analysis». zerosum0x0.blogspot.com. Consultado el 16 de mayo de 2017.
↑ «NSA's DoublePulsar Kernel Exploit In Use Internet-Wide». threatpost.com. Consultado el 16 de mayo de 2017.

Datos: Q29971716

[scmagazine-1] «DoublePulsar malware spreading rapidly in the wild following Shadow Brokers dump». 25 de abril de 2017. Archivado desde el original el 21 de junio de 2017. Consultado el 25 de marzo de 2019.

[2] Sterling, Bruce. «Double Pulsar NSA leaked hacks in the wild».

[usbguy-3] «Seriously, Beware the ‘Shadow Brokers’». 4 de mayo de 2017.

[4] «Wana Decrypt0r Ransomware Using NSA Exploit Leaked by Shadow Brokers Is on a Rampage».

[5] «>10,000 Windows computers may be infected by advanced NSA backdoor».

[6] Cameron, Dell. «Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It».

[7] Fox-Brewster, Thomas. «How One Simple Trick Just Put Out That Huge Ransomware Fire».

[8] «Player 3 Has Entered the Game: Say Hello to 'WannaCry'». blog.talosintelligence.com. Consultado el 15 de mayo de 2017.

[techanalysis-9] «DoublePulsar Initial SMB Backdoor Ring 0 Shellcode Analysis». zerosum0x0.blogspot.com. Consultado el 16 de mayo de 2017.

[10] «NSA's DoublePulsar Kernel Exploit In Use Internet-Wide». threatpost.com. Consultado el 16 de mayo de 2017.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]