Probabilmente questa infame epidemia non creerà nuovamente il caos in tutto il mondo, ma la minaccia che l’ha attivata è ancora molto diffusa e rappresenta un grave pericolo per i sistemi non protetti e quelli non adeguatamente aggiornati.
È passato un anno da quando il ransomware WannaCryptor.D (ovvero WannaCry e WCrypt) ha causato una delle più grandi interruzioni informatiche che il mondo abbia mai visto. E se da una parte il malware non sta facendo più grandi danni nel mondo, l’exploit che ne ha permesso l’enorme diffusione, noto come EternalBlue, sta ancora minacciando i sistemi privi di patch e quelli non protetti. E come mostrano i dati della telemetria ESET, negli ultimi mesi la sua popolarità è tornata a crescere con un recente picco del 100% che ha superato anche i migliori risultati del 2017, fermi al 97%.
L’exploit EternalBlue ha come obiettivo una vulnerabilità (risolta nel Bollettino Microsoft sulla sicurezza MS17-010) presente in una versione obsoleta del protocollo Server Message Block (SMB) di Microsoft, sulla porta 445. In un attacco, i black hat scansionano Internet per trovare porte SMB esposte, che una volta identificate consentono l’esecuzione del codice exploit. Se il sistema trovato risulta vulnerabile, l’attaccante vi potrà quindi eseguire una payload a sua scelta. Questo era il processo che ha permesso una diffusione così efficace del ransomware WannaCryptor.D attraverso le reti.
È interessante notare che, secondo la telemetria di ESET, EternalBlue ha avuto un periodo di apparente calma immediatamente dopo la campagna WannaCryptor 2017: infatti nei mesi successivi, i tentativi di utilizzare l’exploit EternalBlue sono scesi a “solo” centinaia di rilevamenti ogni giorno. Da settembre dello scorso anno, tuttavia, l’utilizzo dell’exploit ha lentamente ripreso ad aumentare, crescendo continuamente e raggiungendo nuove vette a metà aprile 2018.
Una possibile spiegazione per l’ultimo picco è la campagna del ransomware Satan identificata proprio nello stesso periodo, ma potrebbe anche essere collegato ad altre attività pericolose messe in atto nello stesso periodo.
Dobbiamo sottolineare che il metodo di infiltrazione utilizzato da EternalBlue non ha successo sui dispositivi protetti da ESET. Uno dei molteplici livelli di sicurezza, il modulo di protezione dagli attacchi di rete di ESET, blocca questa minaccia proprio sul punto di ingresso che tenta di sfruttare. Questo modus operandi può essere paragonato al bussare silenziosamente a una porta alle 2 del mattino per verificare se qualcuno è ancora sveglio. Poiché tale attività è probabilmente guidata da intenzioni criminali, l’ingresso è sigillato in modo sicuro per tenere fuori l’intruso.
Questa condizione era vera sia durante l’attacco WannaCryptor del 12 maggio 2017, sia per tutti gli attacchi precedenti e successivi tentati da altri singoli criminali e da gruppi di malintenzionati.
EternalBlue ha permesso molti attacchi informatici di alto profilo. Oltre a WannaCryptor, ha anche contribuito alla diffusione del distruttivo Diskcoder.C (noto anche come Petya, NotPetya ed ExPetya) nel mese di giugno 2017 e alla campagna del ransomware BadRabbit nel quarto trimestre 2017 . È stato anche usato dal gruppo di cyberespionaggio di Sednit (noto anche come APT28, Fancy Bear e Sofacy) per attaccare le reti Wi-Fi negli hotel europei.
Si è inoltre scoperto come lo stesso exploit sia stato utilizzato per diffondere cryptominer maligni. Più recentemente, è stato usato per diffondere la campagna ransomware Satan, descritta solo pochi giorni dopo che la telemetria di ESET ha rilevato il picco EternalBlue di metà aprile 2018.
L’exploit EternalBlue è stato presumibilmente rubato dalla National Security Agency (NSA), probabilmente nel 2016 e pubblicato online il 14 aprile 2017 da un gruppo soprannominato Shadow Brokers. Microsoft ha rilasciato gli aggiornamenti che hanno corretto la vulnerabilità SMB il 14 marzo 2017, ma a tutt’oggi in circolazione ci sono molte macchine prive di patch.
Questo exploit e tutti gli attacchi che ne hanno beneficiato evidenziano l’importanza di patch tempestive e la necessità di una soluzione di sicurezza affidabile e multilivello in grado di bloccare lo strumento dannoso che lo utilizza.
1 Commento