Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
Un nuovo worm usa le stesse vulnerabilità di WannaCry
EternalRocks sfrutta le vulnerabilità del Server Message Block già usate per diffondere il ransomware. Ma il nuovo worm utilizza altri strumenti dell’NSA.
Prepariamoci per il secondo giro di giostra. Dopo WannaCry, a sfruttare gli strumenti dell’NSA resi pubblici dal gruppo Shadow Brokers arriva un nuovo worm che il suo creatore ha battezzato con il nome di EternalRocks.
Stando al report stilato da Mirosav Stamplar, ricercatore presso il CERT di Zagabria, il worm sfrutta ben sette tecniche derivate dall’arsenale della National Security Agency. Nel dettaglio, si tratta di quattro exploit (EternalBlue, EternalChampion, EternalRomance ed EternalSynergy) e tre programmi (DoublePulsar, ArchiTouch e SmbTouch).
Il vettore di infezione fa leva sullo stesso principio di WannaCry: sfruttare quel Server Message Block che consente l’avvio di esecuzione di codice in remoto sulle macchine Windows non aggiornate.
La tecnica di attacco di EternalRocks è più elaborata di quella di WannaCry. Il worm, infatti, utilizza una strategia suddivisa in due fasi: la prima prevede l’installazione sulla macchina e l’apertura di un canale di comunicazione (su circuito Tor) con il server Command and Control.
La seconda, programmata per avviarsi dopo 24 ore dalla prima installazione, prevede il download di un archivio chiamato ShadowBrokers.zip, al cui interno sono contenuti i payload dell’NSA che permettono la diffusione in rete del worm.
A questo punto EternalRocks avvia una scansione delle porte 445 (quelle usate dall’SMB) per individuare e infettare eventuali computer vulnerabili.
Per il momento il worm non compie azioni particolarmente dannose, ma non illudiamoci troppo: il fatto che sia in costante comunicazione con un server Command and Control significa che i pirati informatici che lo controllano possono avviare il download e l’installazione di ulteriore malware in qualsiasi momento.
EternalRocks appare nel Task Manager “camuffato” come taskhost. Non compie nessuna azione nociva ma aspetta ordini dal suo server C&C.
Difficile capire quale possa essere la sua diffusione. Dopo l’emergenza legata a WannaCry, infatti, ci si potrebbe aspettare che molti utenti abbiano aggiornato il loro computer e che il numero di PC vulnerabili sia di conseguenza diminuito.
La verità però, è che tutta la vicenda relativa a WannaCry ha confermato che la sensibilità degli utenti nei confronti degli aggiornamenti è quasi nulla. A dimostrarlo sono i dati statistici riguardanti la diffusione del ransomware.
I ricercatori, infatti, pensavano che l’elevata diffusione del worm fosse dovuta al fatto che avesse colpito per la maggior parte i computer equipaggiati con Windows XP, per il quale non era disponibile l’update che correggeva il bug del Server Message Block.
Sbagliato: stando alle rilevazioni di Kaspersky Lab, i computer con Windows XP colpiti dal malware sono stati pochissimi. Il 98% delle vittime, invece, aveva Windows 7 e, di conseguenza, è stato infettato perché non aveva installato gli aggiornamenti.
In uno scenario del genere, è probabile che EternalRocks abbia terreno fertile per diffondersi senza troppi problemi e, tra qualche settimana, potrebbe tornare a far parlare di sé.
Condividi l'articolo
Netgear raccoglie i dati sull’utilizzo dei suoi router
Autenticazione a due fattori su LastPass. I pirati ringraziano
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
One thought on “Un nuovo worm usa le stesse vulnerabilità di WannaCry”