Il fornitore di sicurezza ESET ha recentemente dettagliato gli ultimi rapporti sugli attacchi di Windows. Il ricercatore Ondrej Kubovič ha pubblicato uno studio sull'exploit EternalBlue e sui suoi effetti dopo un anno. Per farla breve, l'exploit è diventato più popolare anche durante l'epidemia di WannaCry. C'è un preoccupante aumento del numero di attacchi basati sull'exploit.

" E come dimostrano i dati di telemetria di ESET, la sua popolarità è cresciuta negli ultimi mesi e un picco recente ha addirittura superato i picchi più importanti dal 2017 ", spiega il ricercatore.

L'exploit di EternalBlue è più forte che mai

L'exploit è stato rubato dall'NSA dal gruppo di hacker chiamato Shadow Brokers nell'aprile 2916 e beneficia di una vulnerabilità rilevata nel protocollo SMB (Windows Server Message Block). Microsoft ha implementato le patch anche prima che la vulnerabilità diventasse pubblica.

Sfortunatamente, gli aggressori sono ancora alla ricerca di obiettivi e, secondo il ricercatore di ESET, i criminali informatici stanno eseguendo la scansione di Internet per individuare le porte SMB esposte e stanno cercando di compromettere gli host con un exploit che consente l'invio di payload sul computer di destinazione.

Una possibile spiegazione per l'ultimo picco è la campagna ransomware di Satana vista intorno a quelle date, ma potrebbe anche essere collegata ad altre attività dannose. L'exploit è stato anche identificato come uno dei meccanismi di diffusione dei cryptominer dannosi. Più recentemente, è stato distribuito per distribuire la campagna ransomware Satan, descritta solo pochi giorni dopo che la telemetria di ESET ha rilevato il picco EternalBlue di metà aprile 2018.

Microsoft ha già reso disponibili correzioni di sicurezza

Le patch per correggere questa vulnerabilità sono già disponibili e ciò significa che gli aggressori possono solo hackerare i sistemi che non li hanno installati. Sono stati rilasciati da Microsoft nel marzo 2017 e i computer aggiornati dovrebbero già essere protetti.

Inoltre, ESET osserva che " il metodo di infiltrazione utilizzato da EternalBlue non ha esito positivo sui dispositivi protetti da ESET. Uno dei livelli di protezione multipli - il modulo di protezione dagli attacchi di rete di ESET - blocca questa minaccia al punto di entrata."

Il numero crescente di attacchi suggerisce che ci sono ancora molti sistemi in cui non sono installate le patch, il che solleva molte preoccupazioni.