Aggiornamenti recenti Settembre 20th, 2024 9:00 AM
Mag 22, 2017 Marco Schiaffino Minacce, News, RSS, Vulnerabilità, Worms 1
Prepariamoci per il secondo giro di giostra. Dopo WannaCry, a sfruttare gli strumenti dell’NSA resi pubblici dal gruppo Shadow Brokers arriva un nuovo worm che il suo creatore ha battezzato con il nome di EternalRocks.
Stando al report stilato da Mirosav Stamplar, ricercatore presso il CERT di Zagabria, il worm sfrutta ben sette tecniche derivate dall’arsenale della National Security Agency. Nel dettaglio, si tratta di quattro exploit (EternalBlue, EternalChampion, EternalRomance ed EternalSynergy) e tre programmi (DoublePulsar, ArchiTouch e SmbTouch).
Il vettore di infezione fa leva sullo stesso principio di WannaCry: sfruttare quel Server Message Block che consente l’avvio di esecuzione di codice in remoto sulle macchine Windows non aggiornate.
La tecnica di attacco di EternalRocks è più elaborata di quella di WannaCry. Il worm, infatti, utilizza una strategia suddivisa in due fasi: la prima prevede l’installazione sulla macchina e l’apertura di un canale di comunicazione (su circuito Tor) con il server Command and Control.
La seconda, programmata per avviarsi dopo 24 ore dalla prima installazione, prevede il download di un archivio chiamato ShadowBrokers.zip, al cui interno sono contenuti i payload dell’NSA che permettono la diffusione in rete del worm.
A questo punto EternalRocks avvia una scansione delle porte 445 (quelle usate dall’SMB) per individuare e infettare eventuali computer vulnerabili.
Per il momento il worm non compie azioni particolarmente dannose, ma non illudiamoci troppo: il fatto che sia in costante comunicazione con un server Command and Control significa che i pirati informatici che lo controllano possono avviare il download e l’installazione di ulteriore malware in qualsiasi momento.
Difficile capire quale possa essere la sua diffusione. Dopo l’emergenza legata a WannaCry, infatti, ci si potrebbe aspettare che molti utenti abbiano aggiornato il loro computer e che il numero di PC vulnerabili sia di conseguenza diminuito.
La verità però, è che tutta la vicenda relativa a WannaCry ha confermato che la sensibilità degli utenti nei confronti degli aggiornamenti è quasi nulla. A dimostrarlo sono i dati statistici riguardanti la diffusione del ransomware.
I ricercatori, infatti, pensavano che l’elevata diffusione del worm fosse dovuta al fatto che avesse colpito per la maggior parte i computer equipaggiati con Windows XP, per il quale non era disponibile l’update che correggeva il bug del Server Message Block.
Sbagliato: stando alle rilevazioni di Kaspersky Lab, i computer con Windows XP colpiti dal malware sono stati pochissimi. Il 98% delle vittime, invece, aveva Windows 7 e, di conseguenza, è stato infettato perché non aveva installato gli aggiornamenti.
In uno scenario del genere, è probabile che EternalRocks abbia terreno fertile per diffondersi senza troppi problemi e, tra qualche settimana, potrebbe tornare a far parlare di sé.
Ago 26, 2024 0
Ago 07, 2024 0
Lug 19, 2024 0
Lug 08, 2024 0
Set 20, 2024 0
Set 19, 2024 0
Set 18, 2024 0
Set 17, 2024 0
Set 20, 2024 0
Secondo il report del primo trimestre 2024 di Cisco Talos...Set 19, 2024 0
Ora più che mai le aziende si trovano nel mirino dei...Set 18, 2024 0
Negli ultimi tempi gli abusi “transitivi” di...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 20, 2024 0
Secondo il report del primo trimestre 2024 di CiscoSet 17, 2024 0
Pochi giorni fa il Port of Seattle, l’agenzia...Set 16, 2024 0
I ricercatori di Doctor Web hanno scoperto Vo1d, unSet 16, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...
One thought on “Un nuovo worm usa le stesse vulnerabilità di WannaCry”