Um ano atrás, o ransomware WannaCryptor.D (também conhecido como WannaCry ou WCrypt), provocava um dos maiores ataques cibernéticos conhecidos até o momento. Enquanto a ameaça em si não está causando grandes danos em todo o mundo, a exploração que foi usada durante o ataque, conhecida como EternalBlue, ameaça sistemas desprotegidos e sem patches. Os dados telemétricos da ESET, empresa líder na detecção proativa de ameaças, mostram que sua popularidade cresceu nos últimos meses e teve até picos de atividade, superando os registrados em 2017.
A vulnerabilidade EternalBlue está associada aos sistemas operacionais da Microsoft, na implementação do protocolo SMB (Server Message Block), por meio da porta 445. Em um ataque, os cibercriminosos examinam a internet em busca de portas SMB expostas e, caso sejam encontradas, lançam o código do exploit. Quando conseguem explorar essa vulnerabilidade, o alvo afetado executa um payload escolhido pelo cibercriminoso. Este foi o mecanismo usado para a efetiva propagação do ransomware WannaCryptor.D pelas redes.
De acordo com a telemetria da ESET, as tentativas de explorar o EternalBlue caíram após a campanha WannaCryptor em 2017. Nos meses seguintes, o surto de tentativas EternalBlue caiu para “apenas” centenas de detecções diárias. No entanto, desde setembro de 2017, o uso desse tipo de exploração voltou a aumentar de forma constante e atingiu novos picos em meados de abril de 2018.
“Uma possível explicação para este aumento é a campanha do ransomware Satã, que foi detectada perto dessas datas, embora a verdade seja que ela também poderia estar conectada a outras atividades maliciosas”, disse Camilo Gutierrez, chefe do Laboratório de Pesquisa de ESET América Latina. “É importante ressaltar que o método de infiltração usado pelo EternalBlue não é bem-sucedido em dispositivos protegidos por antivírus robustos, que bloqueiem essa ameaça no ponto de entrada”, completa Gutierrez.
O EternalBlue permitiu a realização de ataques cibernéticos em larga escala. Além do WannaCryptor, também impulsionou o destrutivo Diskcoder.C (também conhecido como Petya, NotPetya e ExPetya) de junho de 2017, além da campanha de ransomware BadRabbit durante os últimos meses de 2017. Ele também foi usado pelo grupo de espionagem eletrônica Sednit (conhecido como APT28, Fancy Bear e Sofacy) para atacar redes Wi-Fi em hotéis europeus. As explorações associadas ao EternalBlue também foram identificadas como um dos mecanismos de propagação de mineradores de criptomoedas maliciosos. E recentemente, foi usado na disseminação do ransomware Satã, dias depois que a telemetria da ESET detectou os picos do EternalBlue em meados de abril de 2018.
“A Microsoft emitiu atualizações que corrigiram a vulnerabilidade SMB em 14 de março de 2017, mas até hoje ainda há muitos computadores sem patches. Todos esses ataques destacam a importância de ter os patches no prazo, bem como a necessidade de ter uma solução de segurança confiável que tenha várias camadas de segurança e que seja capaz de bloquear a ferramenta maliciosa subjacente” concluiu Gutierrez.
Para mais infomações, acesse o We Live Security, portal de notícias da ESET: https://www.welivesecurity.com/br/2018/05/10/um-ano-depois-eternalblue-registra-maior-atividade-agora-do-que-durante-o-surto-do-wannacryptor/
Leia nesta edição:
CAPA | TECNOLOGIA
Centros de Dados privados ainda geram bons negócios
TENDÊNCIA
Processadores ganham centralidade com IA
TIC APLICADA
Digitalização do canteiro de obras
Esta você só vai ler na versão digital
TECNOLOGIA
A tecnologia RFID está madura, mas há espaço para crescimento
Baixe o nosso aplicativo