EternalBlue non è un semplice exploit kit, ma l'Exploit Kit con le maiuscole: per chi non ricordasse la sua storia, stiamo parlando del kit per sfruttare una vulnerabilità dell'implementazione della v.1 del protocollo SMB e penetrare non solo nel sistema bersaglio, ma anche nella rete. E' l'exploit kit che, sottratto dai server della National Security Agency, è stato alla base della impressionante virulenza di WannaCry, BadRabbit e del wiper NotPetya.
Per approfondire >> L'exploit di WannaCry,NotPetya e BadRabbit: EternalBlue 1 anno dopo
Qualcuno probabilmente penserà che, passato tutto questo tempo, EternalBlue sia un'arma spuntata, a maggior ragione che la vulnerabilità dell'SMB sfruttata è stata risolta con la pubblicazione del relativo bollettino di sicurezza (MS17-010) contenente la patch per le vulnerabilità attaccate da EternalBlue. Non è assolutamente così, purtoppo e questa fine 2018/inizio 2019 ce ne ha già fornito conferma.
Qualcuno probabilmente penserà che, passato tutto questo tempo, EternalBlue sia un'arma spuntata, a maggior ragione che la vulnerabilità dell'SMB sfruttata è stata risolta con la pubblicazione del relativo bollettino di sicurezza (MS17-010) contenente la patch per le vulnerabilità attaccate da EternalBlue. Non è assolutamente così, purtoppo e questa fine 2018/inizio 2019 ce ne ha già fornito conferma.
1. La conferma: WannaCry è inattivo, ma i computer infetti sono ancora milioni.
Lo studio proviene dai ricercatori della Kryptos Logic, che hanno fatto sapere che sono ancora milioni i computer infettati dal malware, nonostante il malware sia stato fermato da uno stratagemma molto astuto (per quanto quasi casuale) del ricercatore Marcus Hutchins: Hutchins ha infatti scoperto che il malware, come tecnica di evasione dalle sandbox, tentava la connessione ad un sito inesistente. Se riceveva una risposa positiva aveva conferma di trovarsi in una sandbox e bloccava ogni attività. Hutchins quindi ha registrato quel dominio, ingannando così il malware che è finito in uno stato di sostanziale inattività. Ciò significa che il malware è in letargo, ma l'analisi del traffico di rete diretto verso quel dominio è ancora molto molto alto: sono moltissimi i pc che continuano a tentare periodicamente un collegamento per quel dominio, cosa che indica che ancora in quella macchina WannaCry è attivo e esegue test sul sistema infetto. Stiamo parlando di circa 17 milioni di tentativi di connessioni in una sola settimana, provenienti da 630.000 IP univoci da 194 paesi nel mondo (non osiamo immaginare cosa potrebbe succedere se, per qualsiasi ragione - o più semplicemente per un attacco DDoS - il sito in questione dovesse diventare irraggiungibile, riattivando WannaCry su tutti i pc dove è ancora presente).
2. EternalBlue usato per diffondere miner
Proprio in questi giorni alcuni ricercatori di sicurezza hanno individuato NRSMiner, un malware ricavato modificato XMRig e che è usato per il mining di criptovaluta Monero. I ricercatori di F-Secure parlano di due diversi vettori di infezione per questo miner: il primo è una complessa procedura di update della vecchia versione del malware. Il secondo vettore è invece proprio EternalBlue. Se i pirati informatici hanno deciso di diffondere questo miner con EternalBlue è, probabilmente, per un duplice motivo. Il primo sicuramente è la virulenza di EternalBlue, che, dato che non necessita di alcuna interazione da parte dell'utente, può avviare massicce infezioni difficilmente controllabili. La seconda motivazione è che, evidentemente, nonostante la patch sia disponibile da molto tempi, restano comunque pochissimi gli utenti che hanno messo in sicurezza la propria macchina.
La buona notizia è che, per ora, il numero di infezioni con questo miner è assolutamente non paragonabile allo tsunami che fu WannaCry. Anzi, la maggior parte delle infezioni si concentra in una zona specifica del mondo, il Vietnam (ma questo, sappiamo, dipende direttamente dal metodo di diffusione di WannaCry). La cattiva notizia è che ancora la maggior parte degli utenti non ha chiaro che un sistema operativo o un software non aggiornati possono comportare seri rischi.
Nessun commento:
Posta un commento