• Home
  • Chi siamo
  • Il nostro sito web
Future Time Security blog
Menu
  • Home
  • Chi siamo
  • Il nostro sito web
Home  /  Sicurezza  /  Un anno dopo EternalBlue torna a far parlare di sé a causa di una nuova epidemia di WannaCryptor

Un anno dopo EternalBlue torna a far parlare di sé a causa di una nuova epidemia di WannaCryptor

Probabilmente questa infame epidemia non creerà nuovamente il caos in tutto il mondo, ma la minaccia che l’ha attivata è ancora molto diffusa e rappresenta un grave pericolo per i sistemi non protetti e quelli non adeguatamente aggiornati.

È passato un anno da quando il ransomware WannaCryptor.D (ovvero WannaCry e WCrypt) ha causato una delle più grandi interruzioni informatiche che il mondo abbia mai visto. E se da una parte il malware non sta facendo più grandi danni nel mondo, l’exploit che ne ha permesso l’enorme diffusione, noto come EternalBlue, sta ancora minacciando i sistemi privi di patch e quelli non protetti. E come mostrano i dati della telemetria ESET, negli ultimi mesi la sua popolarità è tornata a crescere con un recente picco del 100% che ha superato anche i migliori risultati del 2017, fermi al 97%.

L’exploit EternalBlue ha come obiettivo una vulnerabilità (risolta nel Bollettino Microsoft sulla sicurezza MS17-010) presente in una versione obsoleta del protocollo Server Message Block (SMB) di Microsoft, sulla porta 445. In un attacco, i black hat scansionano Internet per trovare porte SMB esposte, che una volta identificate consentono l’esecuzione del codice exploit. Se il sistema trovato risulta vulnerabile, l’attaccante vi potrà quindi eseguire una payload a sua scelta. Questo era il processo che ha permesso una diffusione così efficace del ransomware WannaCryptor.D attraverso le reti.

È interessante notare che, secondo la telemetria di ESET, EternalBlue ha avuto un periodo di apparente calma immediatamente dopo la campagna WannaCryptor 2017: infatti nei mesi successivi, i tentativi di utilizzare l’exploit EternalBlue sono scesi a “solo” centinaia di rilevamenti ogni giorno. Da settembre dello scorso anno, tuttavia, l’utilizzo dell’exploit ha lentamente ripreso ad aumentare, crescendo continuamente e raggiungendo nuove vette a metà aprile 2018.

Una possibile spiegazione per l’ultimo picco è la campagna del ransomware Satan identificata proprio nello stesso periodo, ma potrebbe anche essere collegato ad altre attività pericolose messe in atto nello stesso periodo.

Dobbiamo sottolineare che il metodo di infiltrazione utilizzato da EternalBlue non ha successo sui dispositivi protetti da ESET. Uno dei molteplici livelli di sicurezza, il modulo di protezione dagli attacchi di rete di ESET, blocca questa minaccia proprio sul punto di ingresso che tenta di sfruttare. Questo modus operandi può essere paragonato al bussare silenziosamente a una porta alle 2 del mattino per verificare se qualcuno è ancora sveglio. Poiché tale attività è probabilmente guidata da intenzioni criminali, l’ingresso è sigillato in modo sicuro per tenere fuori l’intruso.

Questa condizione era vera sia durante l’attacco WannaCryptor del 12 maggio 2017, sia per tutti gli attacchi precedenti e successivi tentati da altri singoli criminali e da gruppi di malintenzionati.

EternalBlue ha permesso molti attacchi informatici di alto profilo. Oltre a WannaCryptor, ha anche contribuito alla diffusione del distruttivo Diskcoder.C (noto anche come Petya, NotPetya ed ExPetya) nel mese di giugno 2017 e alla campagna del ransomware BadRabbit nel quarto trimestre 2017 . È stato anche usato dal gruppo di cyberespionaggio di Sednit (noto anche come APT28, Fancy Bear e Sofacy) per attaccare le reti Wi-Fi negli hotel europei.

Si è inoltre scoperto come lo stesso exploit sia stato utilizzato per diffondere cryptominer maligni. Più recentemente, è stato usato per diffondere la campagna ransomware Satan, descritta solo pochi giorni dopo che la telemetria di ESET ha rilevato il picco EternalBlue di metà aprile 2018.

L’exploit EternalBlue è stato presumibilmente rubato dalla National Security Agency (NSA), probabilmente nel 2016 e pubblicato online il 14 aprile 2017 da un gruppo soprannominato Shadow Brokers. Microsoft ha rilasciato gli aggiornamenti che hanno corretto la vulnerabilità SMB il 14 marzo 2017, ma a tutt’oggi in circolazione ci sono molte macchine prive di patch.

Questo exploit e tutti gli attacchi che ne hanno beneficiato evidenziano l’importanza di patch tempestive e la necessità di una soluzione di sicurezza affidabile e multilivello in grado di bloccare lo strumento dannoso che lo utilizza.

Condividi su
Condividi su Facebook
Condividi su Twitter
 Articolo precedente La lotta al terrorismo passa anche e soprattutto per la rete
Articolo successivo   Le PMI sorprese a utilizzare software pirata

Articoli Simili

  • Odix: 5 modi per migliorare la sicurezza della posta

    Febbraio 25, 2021
  • La storia di come le attività di hacking siano passate dal divertimento alla fame di denaro

    Febbraio 23, 2021
  • Cybersecurity: l’Italia è in zona arancione

    Gennaio 14, 2021

1 Commento

  1. Pingback: Un anno dopo: EternalBlue torna a far parlare di sé a causa di una nuova epidemia di WannaCryptor

Lascia un commento Annulla risposta

Cerca

Social Media

  • Connect on LinkedIn

Articoli Recenti

  • Connected car sempre più vulnerabili agli attacchi cyber Febbraio 26, 2021
  • Odix: 5 modi per migliorare la sicurezza della posta Febbraio 25, 2021
  • La storia di come le attività di hacking siano passate dal divertimento alla fame di denaro Febbraio 23, 2021
  • Trend Micro: Organizzazioni sanitarie e cloud, le 4 sfide principali Febbraio 19, 2021

Commenti recenti

  • Avast: fake Malwarebytes utilizzato per distribuire CoinMiner - LineaEDP su Falsi file di installazione di Malwarebytes che distribuiscono coinminer
  • Avast: fake Malwarebytes utilizzato per distribuire CoinMiner su Falsi file di installazione di Malwarebytes che distribuiscono coinminer
  • Scoperte su Google Play Store 47 app malevole scaricate 15 milioni di volte – Secondamano l'originale su Avast scopre 47 app malevole su Google Play Store, scaricate 15 milioni di volte
  • Lara su Quando l’amore diventa un incubo: le truffe su siti di dating online
  • Cyber warfare: tecniche, obiettivi e strategie dietro gli attacchi “state-sponsored” | Agenda Digitale su BackSwap l’innovativo Trojan bancario che introduce nuove tecniche per svuotare i conti delle vittime

Archivi

Categorie

  • Comunicazioni
  • Malware
  • Senza categoria
  • Sicurezza
  • Sicurezza Informatica
  • Suggerimenti tecnici
  • Connected car sempre più vulnerabili agli attacchi cyber

  • Odix: 5 modi per migliorare la sicurezza della posta

  • La storia di come le attività di hacking siano passate dal divertimento alla fame di denaro

  • Trend Micro: Organizzazioni sanitarie e cloud, le 4 sfide principali

  • Per Future Time nuovo accordo di partnership con Acronis

© 2001 - 2020 - Tutti i diritti riservati. I marchi usati nel sito sono registrati da Future Time S.r.l. Tutti gli altri nomi e marchi sono registrati dalle rispettive aziende. Future Time S.r.l. © 2001-2020. P.IVA 06677001007
Questo sito usa i cookie, anche di terze parti, per offrirti una navigazione in linea con le tue preferenze. Per maggiori informazioni puoi accedere alla nostra cookie policy, dove potrai negare il consenso ai cookie, seguendo l'apposito link. Se continui la navigazione sul sito acconsenti all'uso dei cookie.
Ok, accetto Cookie policy
Privacy & Cookies Policy

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Sempre abilitato

Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.

Non-necessary

Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.

ACCETTA E SALVA