Dostawca zabezpieczeń ESET niedawno wyszczególnił najnowsze raporty dotyczące ataków na system Windows. Badacz Ondrej Kubovič opublikował badanie dotyczące exploita EternalBlue i jego skutków po roku. Krótko mówiąc, exploit stał się popularniejszy nawet podczas wybuchu WannaCry. Niepokojący jest wzrost liczby ataków opartych na exploicie.

„ Jak pokazują dane telemetryczne ESET, jego popularność rośnie w ciągu ostatnich kilku miesięcy, a ostatni skok przekroczył nawet najwyższe wartości szczytowe z 2017 roku ”, wyjaśnia badacz.

Exploit EternalBlue jest silniejszy niż kiedykolwiek

Exploit został skradziony NSA przez grupę hakerów o nazwie Shadow Brokers w kwietniu 2916 r. I wykorzystuje lukę w zabezpieczeniach protokołu Windows Server Message Block (SMB). Microsoft wdrożył poprawki jeszcze przed ujawnieniem luki w zabezpieczeniach.

Niestety, napastnicy wciąż szukają celów, a według badacza ESET cyberprzestępcy skanują Internet w poszukiwaniu odsłoniętych portów SMB i próbują skompromitować hosty za pomocą exploita, który umożliwia wysyłanie ładunków na maszynę docelową.

Jednym z możliwych wyjaśnień najnowszego szczytu jest kampania ransomware szatana widziana wokół tych dat, ale może być również związana z innymi złośliwymi działaniami. Exploit został również zidentyfikowany jako jeden z mechanizmów rozprzestrzeniania szkodliwych kryptomerów. Niedawno został wdrożony w celu rozpowszechniania kampanii ransomware szatana, opisanej zaledwie kilka dni po wykryciu przez telemetrii ESET szczytu EternalBlue z połowy kwietnia 2018 r.

Firma Microsoft udostępniła już poprawki zabezpieczeń

Poprawki usuwające tę lukę są już dostępne, a to oznacza, że ​​osoby atakujące mogą hakować tylko systemy, w których ich nie zainstalowano. Zostały wydane przez Microsoft w marcu 2017 r., A zaktualizowane komputery powinny już być chronione.

Ponadto ESET zauważa, że ​​„ metoda infiltracji stosowana przez EternalBlue nie działa na urządzeniach chronionych przez ESET. Jedna z wielu warstw ochrony - moduł ESET Network Attack Protection - blokuje to zagrożenie w punkcie wejścia. ”

Rosnąca liczba ataków sugeruje, że wciąż istnieje wiele systemów bez zainstalowanych łatek, co budzi wiele obaw.