Il worm EternalRocks scoperto di recente non dispone di kill switch ed è altamente infettivo. Sfrutta gli strumenti trapelati dalla NSA e può essere rapidamente utilizzato come arma con ransomware, trojan bancari o RAT.
Dopo una serie di attacchi ransomware che hanno devastato il mondo negli ultimi 10 giorni da parte di WannaCry, un nuovo ceppo di malware " EternalRocks” è stato identificato dal ricercatore di sicurezza Miroslav Stampar. È stato scoperto da lui mercoledì da un campione sul suo honeypot di Windows 7, quando è stato infettato.
Il suo nome originale è "MicroBotMassiveNet" e Stampar lo ha chiamato "DoomsDayWorm". EternalRocks è elencato come nome di prodotto nelle proprietà Taskhost.
EternalRocks si diffonde utilizzando tutti gli exploit SMB nella fuga di notizie, incluso EternalBlue, utilizzato da WannaCry negli attacchi. EternalRocks non utilizza solo EternalBlue, ma anche EternalChampion, EternalRomance ed EternalSynergy, nonché ArchiTouch, SMBTouch e l'exploit del kernel DoublePulsar.
EternalRocks è un malware autoreplicante, include molte più minacce ed è più atroce di WannaCry. Si diffonde attraverso diverse vulnerabilità SMB (Server Message Block) e utilizza lo strumento NSA noto come EtnernalBlue per diffondersi da un computer all'altro tramite Windows.
Vedi anche: Come proteggersi da WannaCry e altri attacchi ransomware
Alcune cose importanti che dovresti sapere su EternalRocks:
Un honeypot è un meccanismo di sicurezza informatico istituito per fungere da trappola per attirare, rilevare e deviare gli hacker che tentano di utilizzare non autorizzati i sistemi di informazione. Identifica le attività dannose eseguite su Internet coinvolgendo e ingannando di proposito gli autori degli attacchi informatici.
In che cosa EternalRocks differenza da WannaCry?
Anche se EternalRo cks utilizza lo stesso percorso e lo stesso punto debole per infettare i sistemi abilitati per Windows, si dice che sia molto più pericoloso, poiché presumibilmente utilizza tutti e sette gli strumenti di hacking rispetto a WannaCry, che è trapelato dalla NSA.
Il malware WannaCry, con soli due strumenti NSA, ha causato disastri colpendo 150 paesi e oltre 240.000 macchine in tutto il mondo. Quindi possiamo immaginare cosa può fare EternalRocks poiché utilizza sette strumenti NSA.
La caratteristica unica di "DoomsDayWorm" è che attende silenziosamente per un periodo di ventiquattro ore, prima di utilizzare la backdoor per scaricare ulteriori malware dal server di comando e controllo. A differenza del ransomware WannaCry, la cui diffusione è stata bloccata a causa di un killswitch scoperto da un blogger di sicurezza.
Durante la prima fase, EternalRocks installa TOR come canale di comunicazione C&C (Comando e Controllo). La seconda fase inizia dopo che sono trascorse 24 ore quando il server C&C risponde con shadowbrokers.zip. Quindi decomprime il file e avvia una scansione casuale per la porta Internet 445 SMB aperta.
Cos'è TOR?
Software che chiude gli occhi invisibili come se fossero ovunque
TOR è un software che consente agli utenti di navigare sul Web in modo anonimo. TOR era originariamente chiamato The Onion Router, poiché utilizza una tecnica chiamata Onion Routing utilizzata per nascondere informazioni sull'attività dell'utente. TOR rende più difficile tenere traccia dell'attività su Internet separando identificazione e instradamento, crittografa i dati, incluso l'indirizzo IP.
Che cos'è il canale di comunicazione C&C (Comando e Controllo)?
strong>I server di comando e controllo chiamati anche server C&C o C2 sono computer utilizzati dagli aggressori per mantenere la comunicazione con i sistemi compromessi all'interno di una rete di destinazione.
I sette strumenti NSA trapelati dagli ShadowBroker utilizzati da EternalRocks:
EternalBlue: exploit SMB1 e SMB2 utilizzati per accedere alla rete
EternalRomance: un exploit remoto del file server di rete SMB1 che prende di mira Windows XP , Server 2003, Vista, Windows 7, Windows 8, Server 2008 e Server 2008 R2
EternalChampion: strumento per exploit SMBv2
EternalSynergy: un exploit di esecuzione di codice in modalità remota contro SMB3 che potenzialmente funziona contro i sistemi operativi.
I 4 strumenti di cui sopra sono progettati per compromettere i computer Windows vulnerabili.
SMBTouch — Strumento di ricognizione per PMI
ArchTouch — Strumento di ricognizione per PMI
I 2 strumenti sopra indicati vengono utilizzati per la scansione per porte SMB aperte sulla rete pubblica.
DoublePulsar: utilizzato per installare il ransomware
Aiuta a diffondere il worm da un computer a un altro attraverso la stessa rete.
Il ransomware WannaCry non è l'unico malware a utilizzare EternalBlue o l'exploit backdoor DoublePulsar. Un miner di criptovaluta noto come Adylkuzz sta coniando valute virtuali su macchine infette. Un altro malware che si diffonde attraverso un vettore di attacco simile è noto come UIWIX.
La parte buona
Non ci sono segnalazioni di EternalRocks essere stato armato. Non vengono segnalati payload dannosi, ad esempio ransomware.
La parte negativa
Poiché le patch SMB degli effetti vengono applicate in un secondo momento, le macchine infettate da EternalRocks worm vengono lasciati accessibili in remoto tramite lo strumento DOUBLEPULSAR NSA. L'installazione backdoor del trojan DOUBLEPULSAR lasciata da EternalRocks mantiene sempre la porta aperta agli hacker.
Cosa fare per proteggersi da tali attacchi?
Bloccare l'accesso esterno alle porte SMB pubbliche internet
- Correggere tutte le vulnerabilità SMB
- Bloccare l'accesso ai server C&C e bloccare l'accesso a Torproject.org
- Monitora eventuali attività pianificate appena aggiunte
- Aggiorna il tuo sistema operativo Windows
- Installa e aggiorna il tuo antivirus
- Installa o attiva il firewall di sistema per mantenere una barriera tra i collegamenti sospetti e il tuo sistema
- Cerca di evitare impostazioni ovvie e password semplici. Prova a utilizzare una combinazione di alfabeti e numeri. Anche una combinazione di lettere maiuscole e minuscole è un approccio più sicuro.
Non utilizzare versioni piratate di Windows, se ne hai una il tuo sistema è più suscettibile alle infezioni. È meglio installare e utilizzare una versione originale del sistema operativo Windows.
leggi: 0
