lunedì 14 maggio 2018

L'exploit di WannaCry,NotPetya e BadRabbit: EternalBlue 1 anno dopo


Il 12 Maggio cadeva il primo anniversario del più celebre attacco ransomware della storia, WannaCry. Un anno dopo, stando ai dati telemetrici provenienti da svariate fonti di ricerca, l'exploit che è stato alla base di questo epocale attacco è più popolare e diffuso che mai. 

Questo exploit, chiamato EternalBlue, è stato sviluppato dalla divisione cybernetica dell'Agenzia di Sicurezza Nazionale USA (NSA): faceva parte di una serie di tool che un gruppo di hacker, denominato The Shadow Broker, ha rubato dai server NSA nel 2016 e quindi rilasciato online dall'Agosto 2016 all'Aprile 2017. Nel Marzo del 2017 Microsoft pubblica il bollettino di sicurezza MS17-010, contenente le patch proprio per le vulnerabilità bersagliate da EternalBlue. Che cosa è successo dopo è ben documentato: EternalBlue è stato usato per creare un meccanismo di self-spreading (si si, come un worm) per diffondere prima il ransomware WannaCry, poi, poco dopo, il wiper NotPetya e il ransomware Bad Rabbit. L'impatto di EternalBlue è stato devastante: 8 miliardi di danni alle aziende, vittime in oltre 150 paesi solo durante l'attacco WannaCry, stando a IBM X-Force.

L'inizio... a rilento
La versione iniziale di EternalBlue non era affatto perfetta: funzionava solo su Windows 7 e Windows server 2008, inoltre andava in crash su Windows Xp. Nonostante questo EternalBlue ha causato molti danni durante l'attacco WannaCry, ma l'uso è presto declinato: dopo l'impressionante picco iniziale infatti le rilevazioni di EternalBlue in the wild si sono ridotte da svariate migliaia al giorno ad appena qualche centinaio di rilevamenti. Per alcuni ricercatori la diminuzione d'uso in realtà fu conseguenza del fatto che erano ben pochi gli attaccanti capaci di usarlo consapevolmente


Il cambio di passo...
La situazione è cambiata dopo gli attacchi WannaCry e NotPetya. Anzitutto EternalBlue è stato portato su ulteriori piattaforme: Windows 8 e Server 2012, infine anche su Windows 10. Ciò ha ampliato notevolmente la capacità di questo exploit di infettare più vittime e l'ha quindi reso una "merce" molto desiderata dai cyber attaccanti: infatti in pochissimo tempo EternalBlue si è legato alla diffusione di banali operazioni di mining di criptovaluta oppure è stato aggiunto all'arsenale di cyber spionaggio di vari Stati.

EternalBlue vive solo grazie ai sistemi non patchati
EternalBlue oggi viene impiegato molto meno spesso nella diffusione di ransomware, ma a tutt'oggi resta uno delle peggiori minacce: la cosa dipende non soltanto dal fatto che i cyber criminali continuano ad armarlo per una serie diversificata di operazioni, ma sopratutto dal fatto che, nonostante la patch già rilasciata da Microsoft, i sistemi vulnerabili sono ancora un numero impressionante.

Fonte: bleepingcomputer.com
Un anno dopo WannaCry ci sono ancora oltre 1 milione di Sistemi Windows col servizio SMB esposto online. 

In sunto, per EternalBlue, nonostante tutto, ci sono ancora praterie lasciate libere dalla scarsa attenzione e/o dalla noncuranza degli utenti stessi. Il vero crollo di EternalBlue, chissà magari poi la dismissione, arriverà quando la maggior parte dei sistemi operativi saranno stati aggiornati e la vulnerabilità del Protocollo SMB che ne è alla base tendenzialmente cancellata. Microsoft ne è consapevole, infatti ha reagito pubblicando versioni dei sistemi operativi Windows col protocollo SMBv1 già disabilitato.

Kryptos Logic, la società dietro al sinkhole che ha bloccato la diffusione di WannaCry, ha confermato gli stessi dettagli qualche settimana fa: ha sottolineato cioè che le infezioni residue di WannaCry utilizzano ancora EternalBlue per infettare nuove vittime. Ci sono ancora milioni di dispositivi infatti che scansionano Internet in cerca di sistemi vulnerabilità per inefttarli con WannaCry via EternalBlue. Il sinkhole impedisce a WannaCry di criptare i dati ma l'exploit EterlanBlue usato per il meccanismo di self-spreading funziona bene ancora oggi. 

Inutile ribadire quanto sia importante applicare la patch contenuta nel bollettino di sicurezza MS17-010. 

Nessun commento:

Posta un commento