23. 5. 2017

Bezpečnostní výzkumník a člen chorvatského vládního CERT týmu, Miroslav Stampar, identifikoval nový kmen malwaru, který ke svému šíření zneužívá chyb v protokolu SMB pro sdílení souborů v OS Windows. Větší nebezpečí spočívá i v tom, že na rozdíl od ransomwaru WannaCry, který používá pouze dva uniklé nástroje NSA (EternalBlue a DoublePulsar), jich tento sítový červ nazvaný EternalRocks využívá všech sedm. Navíc nelze malware jednoduše vypnout tak, jak tomu bylo u ransomwaru WannaCry.

Zneužité zranitelnosti

  • EternalBlue — SMBv1 exploit tool
  • EternalRomance — SMBv1 exploit tool
  • EternalChampion — SMBv2 exploit tool
  • EternalSynergy — SMBv3 exploit tool
  • SMBTouch — SMB reconnaissance tool
  • ArchTouch — SMB reconnaissance tool
  • DoublePulsar — Backdoor Trojan

POSTIŽENÉ SYSTÉMY

Počítače s OS Microsoft Windows.

DOPAD

Stampar zjistil, že EternalRocks se maskuje jako WannaCry, aby oklamal bezpečnostní výzkumníky. Místo toho, aby se pak projevil jako klasický ransomware, umožní útočníkům "pouze" převzít kontrolu nad postiženým počítačem pro další možné kybernetické útoky.

ODKAZY

http://thehackernews.com/2017/05/smb-windows-hacking-tools.html
https://www.bleepingcomputer.com/news/security/new-smb-worm-uses-seven-nsa-hacking-tools-wannacry-used-just-two/
https://github.com/stamparm/EternalRocks
http://www.securityweek.com/eternalrocks-network-worm-leverages-7-nsa-hacking-tools