Pronti per EternalRocks (a.k.a. MicroBotMassiveNet) ?

“I computer sanno contare solo da 0 ad 1, il resto è professionalità.”
Paola Pomi

Se pensavate che WannaCry fosse stata solo una veloce tragedia nel mondo del reti informatiche, chissà come andrà a finire con il prossimo verme, EternalRocks.

Sfruttando gli altri exploit della NSA sul servizio SMB dei sistemi operativi MS Windows (ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE, e ETERNALSYNERGY, oltre a SMBTOUCH, ARCHITOUCH e DOUBLEPULSAR), a quanto pare dalle prime analisi, EternalRocks si comporta come un vero e proprio verme, ovvero replica sé stesso nei sistemi vulnerabili che trova in rete.

Se può consolare, EternalRocks sembra essere meno pericoloso di WannaCry (che cifrava tutti i files sul computer della vittima) ma rende ogni sistema infettato soggetto al controllo del creatore attraverso la rete cifrata TOR (che scarica ed installa subito dopo l’infezione). Pertanto, ogni PC infetto diventa uno zombie in attesa di essere sfruttato, ad esempio come ramsonware (come WannaCry), come RAT (Remote Administration Tool)  o come bot per sferrare attacchi DDOS.

Come già detto, anche questo worm sfrutta vulnerabilità note sul servizio SMB (MS17-010) che Microsoft ha già corretto nelle sue ultime patch:

EternalBlue

EternalSynergy

EternalRomance

EternalChampion

MS17-010

msft-cve-2017-0143

msft-cve-2017-0144

msft-cve-2017-0145

msft-cve-2017-0146

msft-cve-2017-0147

msft-cve-2017-0148

Rimangono pertanto validi i suggerimenti per difendersi da WannaCry: effettuare subito gli aggiornamenti e verificare di non avere, sul proprio sistema, servizi attivi non utilizzati.

Come strumenti di verifica, oltre al consueto nmap, si può usare:

  • WannaCryNetScanner, per verificare la vulnerabilità alle falle “MS17-010 negli host della nostra rete;
  • doublepulsar-detection-script, per una verifica della compromissione da parte di DoublePulsar (RING-0 multi-version kernel mode payload) dei sistemi MS Windows;

per maggiori informazioni su EternalRocks:

(Visitato in totale 1 volte, oggi 1 visite)

Rispondi

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.