Un nuovo worm usa le stesse vulnerabilità di WannaCry

Mag 22, 2017 Marco Schiaffino Minacce, News, RSS, Vulnerabilità, Worms 1

EternalRocks sfrutta le vulnerabilità del Server Message Block già usate per diffondere il ransomware. Ma il nuovo worm utilizza altri strumenti dell’NSA.

Prepariamoci per il secondo giro di giostra. Dopo WannaCry, a sfruttare gli strumenti dell’NSA resi pubblici dal gruppo Shadow Brokers arriva un nuovo worm che il suo creatore ha battezzato con il nome di EternalRocks.

Stando al report stilato da Mirosav Stamplar, ricercatore presso il CERT di Zagabria, il worm sfrutta ben sette tecniche derivate dall’arsenale della National Security Agency. Nel dettaglio, si tratta di quattro exploit (EternalBlue, EternalChampion, EternalRomance ed EternalSynergy) e tre programmi (DoublePulsar, ArchiTouch e SmbTouch).

Il vettore di infezione fa leva sullo stesso principio di WannaCry: sfruttare quel Server Message Block che consente l’avvio di esecuzione di codice in remoto sulle macchine Windows non aggiornate.

La tecnica di attacco di EternalRocks è più elaborata di quella di WannaCry. Il worm, infatti, utilizza una strategia suddivisa in due fasi: la prima prevede l’installazione sulla macchina e l’apertura di un canale di comunicazione (su circuito Tor) con il server Command and Control.

La seconda, programmata per avviarsi dopo 24 ore dalla prima installazione, prevede il download di un archivio chiamato ShadowBrokers.zip, al cui interno sono contenuti i payload dell’NSA che permettono la diffusione in rete del worm.

A questo punto EternalRocks avvia una scansione delle porte 445 (quelle usate dall’SMB) per individuare e infettare eventuali computer vulnerabili.

Per il momento il worm non compie azioni particolarmente dannose, ma non illudiamoci troppo: il fatto che sia in costante comunicazione con un server Command and Control significa che i pirati informatici che lo controllano possono avviare il download e l’installazione di ulteriore malware in qualsiasi momento.

EternalRocks appare nel Task Manager “camuffato” come taskhost. Non compie nessuna azione nociva ma aspetta ordini dal suo server C&C.

Difficile capire quale possa essere la sua diffusione. Dopo l’emergenza legata a WannaCry, infatti, ci si potrebbe aspettare che molti utenti abbiano aggiornato il loro computer e che il numero di PC vulnerabili sia di conseguenza diminuito.

La verità però, è che tutta la vicenda relativa a WannaCry ha confermato che la sensibilità degli utenti nei confronti degli aggiornamenti è quasi nulla. A dimostrarlo sono i dati statistici riguardanti la diffusione del ransomware.

I ricercatori, infatti, pensavano che l’elevata diffusione del worm fosse dovuta al fatto che avesse colpito per la maggior parte i computer equipaggiati con Windows XP, per il quale non era disponibile l’update che correggeva il bug del Server Message Block.

Sbagliato: stando alle rilevazioni di Kaspersky Lab, i computer con Windows XP colpiti dal malware sono stati pochissimi. Il 98% delle vittime, invece, aveva Windows 7 e, di conseguenza, è stato infettato perché non aveva installato gli aggiornamenti.

In uno scenario del genere, è probabile che EternalRocks abbia terreno fertile per diffondersi senza troppi problemi e, tra qualche settimana, potrebbe tornare a far parlare di sé.

Condividi l'articolo