La notorietà raggiunta dall’exploit EternalBlue, secondo BleepingComputer , assieme alla sua semplicità di implementazione, agevolata dalla presenza di codice sorgente sul progetto Metasploit , ha fatto sì che sia potuto diventare uno strumento utile per molti cyber-criminali. Vi sono difatti evidenze, sotto forma di indicators of compromise , che la vulnerabilità CVE-2017-0144 venga sfruttata da varie famiglie di malware, sia successive che antecedenti a WannaCry .
Due malware di questo tipo sono stati rilevati da Secdo ben tre settimane prima dell’ondata di WannaCry: il primo, proveniente dalla Russia, è in grado di rubare le credenziali salvate su Firefox, esfiltrarle dal computer infetto sfruttando la rete Tor , per poi in seguito cifrare tutti i file personali con finalità di estorsione; il secondo, proveniente dalla Cina, sottoscrive il computer infetto ad una botnet , scaricando ed eseguendo un root-kit , basato sul già noto Agony .
Verso la fine di Aprile, stando ad un report di Cyphort , è stato scoperto un altro remote access trojan in grado di fornire il controllo completo del computer vittima all’attaccante. L’intrusione è stata rilevata attraverso un honeypot , e il malware presenta caratteristiche assai particolari, implementate da cybercriminali cinesi al fine di garantirne quanto più possibile la segretezza: non si propaga da un computer all’altro, evita l’esecuzione di determinati programmi e servizi che potrebbero causare conflitti e soprattutto chiude la porta 445 utilizzata dal servizio SMB. Ironicamente, proprio per quest’ultima ragione, i computer infettati da questo trojan non sono stati colpiti anche da WannaCry.
Il medesimo comportamento elusivo del trojan precedente caratterizza un altro attacco su vasta scala , lanciato al fine di installare il crypto-miner Adylkuzz su più macchine possibili. Sono state registrate almeno tre ondate di attacchi, che hanno fatto guadagnare ai cyber-criminali responsabili almeno 43.000 dollari, “minando” la criptomoneta Monero .
Nei giorni scorsi, Fireeye riferisce che EternalBlue viene inoltre sfruttato per propagare la backdoor Nitol e il malware Gh0st . Entrambi i malware consentono il controllo remoto dei computer infetti.
Una volta ottenuta, tramite EternalBlue, la possibilità di eseguire comandi sul computer infetto, uno script VBS scarica su disco il payload di Backdoor.Nitol da un server remoto, lo esegue e cancella se stesso.
Il download e l’esecuzione di Gh0st RAT avviene in modo analogo; inoltre, l’eseguibile di questo malware risulta firmato con un certificato valido a nome del Beijing Institute of Science and Technology Co., Ltd .
È importante quindi patchare al più presto la vulnerabilità CVE-2017-0144: la patch è disponibile sia per i sistemi operativi Microsoft attualmente supportati , che per quelli ormai fuori supporto .
Elia Tufarolo
Ti potrebbe interessare
6 giu 2017