Anche dopo WannaCry gli attacchi con EternalBlue sono un problema

Lug 19, 2017 Marco Schiaffino Attacchi, Malware, News, RSS, Vulnerabilità 2

---

Secondo i ricercatori la falla viene usata per compromettere i server Linux. E ci sono almeno 50.000 PC Windows ancora vulnerabili…

Siamo in grado di imparare dai nostri errori? Guardando alla vicenda legata a WannaCry la risposta sembra proprio essere… “nì”. Stando ai dati riportati da numerosi ricercatori, infatti, ci sono ancora migliaia di computer che non hanno eseguito gli aggiornamenti per correggere la falla di sicurezza usata dai pirati informatici per portare l’attacco globale che ha fatto tremare il mondo lo scorso maggio.

Facciamo un passo indietro. WannaCry sfruttava un exploit sviluppato dalla National Security Agency (i servizi segreti USA – ndr) chiamato EternalBlue e che usa una vulnerabilità in una versione del Server Message Block (SMB v1) usato da Windows per la condivisione di file e stampanti.

Il ransomware, però, non è l’unico che può sfruttarlo. Nelle ultime settimane sono comparsi numerosi altri gruppi d pirati informatici che hanno cominciato a utilizzarlo per diffondere i loro malware.

La pericolosità di EternalBlue è legata al fatto che la falla di sicurezza che sfrutta non richiede alcuna interazione da parte dall’utente. Semplificando: usando EternalBlue qualsiasi malware si diffonde automaticamente via Internet, proprio come un virus biologico farebbe attraverso l’aria che respiriamo.

Non solo: visto che Server Message Block non viene usato solo da Windows, ma anche da altri software come la piattaforma Samba usata sui server Linux, EternalBlue e le sue varianti rappresentano una minaccia per qualsiasi rete.

Per fortuna esiste un “vaccino” per EternalBlue. Si tratta di quegli aggiornamenti che correggono la vulnerabilità in SMB v1 nei vari sistemi e che, una volta installati, garantiscono l’immunità dagli attacchi.

Ed ecco il punto: nonostante la copertura mediatica e l’allarme generato dall’attacco, l’aggiornamento dei sistemi vulnerabili va a rilento.

A testimoniarlo, negli ultimi due giorni, sono alcune notizie tutt’altro che rassicuranti. La prima riguarda i sistemi Windows. Secondo i risultati di una scansione effettuata su Internet, infatti, ci sarebbero ancora ben 50.000 PC ancora vulnerabili agli attacchi portati con EternalBlue.

La seconda riguarda invece i server con Linux, che proprio in queste ore sarebbero bersaglio di una campagna di diffusione di malware portata con il cosiddetto “EternalRed”, la versione per Linux di EternalBlue che sfrutta la vulnerabilità di SMB sulla piattaforma Samba.

Dopo che lo stesso exploit è stato usato per distribuire un malware in grado di usare i computer infettati per generare cripto-valuta sfruttandone la potenza di calcolo, secondo i ricercatori di Trend Micro ora la stessa tecnica verrebbe utilizzata per installare una backdoor sui server vulnerabili.

Il malware in questione si chiama Shellbind ed è in grado di aprire una Shell sulla porta 61422 che consentirebbe ai pirati di controllare in remoto la macchina infetta.

L’accesso al computer è protetto da una password (Q8pGZFS7N1MObJHf) che viene impostata dal malware stesso al momento dell’installazione e che, probabilmente, è pensata per impedire ad altri di accedere al PC compromesso.

Secondo i ricercatori Trend Micro, l’attacco starebbe prendendo di mira principalmente i NAS (Network Attached Storage) con sistema Linux fin dallo scorso 3 luglio. Il dato davvero preoccupante, però, è che i dispositivi vulnerabili a questo tipo di attacco rimangono ancora troppi.

---

• EternalBlue, NSA, Samba, Shellbind, wannacry, Windows

---

---