Iscriviti

Attenti, arriva EternalRocks: peggio di WannaCry, e senza interruttore

Gli esperti di sicurezza avvisano che, da inizio Maggio, è in azione un nuovo, furtivo, virus - noto come EternalRocks/BlueDoom - che ha tutte le potenzialità per essere peggio di WannaCry, rispetto al quale NON ha un interruttore d'emergenza.

Internet e Social
Pubblicato il 24 maggio 2017, alle ore 17:19

Mi piace
13
0
Attenti, arriva EternalRocks: peggio di WannaCry, e senza interruttore

Ricordate “WannaCry” il ransomware che ha infettato più di 200 mila computer in tutto il mondo, mettendo in ginocchio imprese, ospedali, ed uffici? Avete temuto per l’azione del subdolo “Adylkuzz” che, in modo silente, trasformava i PC i minatori di cryptovaluta? Ecco: secondo gli esperti di sicurezza, tutto ciò potrebbe esser nulla in confronto alle capacità operative del nuovo virus EternalRocks.

EternalRocks, o BlueDoom (secondo la norvegese Heimdal Security), è un malware scoperto dal Cert (centro di sicurezza governativo) della Croazia, e confermato anche dagli esperti dei laboratori Trend Micro: da quanto è emerso, si tratta di un codice malevolo che sfrutta 7 exploit, scoperti dalla NSA e divulgati dagli hacker ShadowBrokers, che vanno a colpire l’SMB di Windows, ovvero il “MicrosoftServer Message Block” che si occupa dell’interazione tra i nodi di una rete. 

Nello specifico, si tratta di EternalBlue e DoublePulsar, già usati per WannaCry e Adylkuzz, e di altri 5 exploit dello stesso genere (ArchiTouch, EternalChampion, EternalRomance, EternalSynergy, e SMBTouch).

Il malware EternalRocks/BlueDoom prima infetta un terminale, vi scarica il programma “UpdateInstaller.exe” necessario a ricevere ordini dal server remoto di comando e controllo tramite la rete anonima Tor, poi resta in silenzio, per 24 ore, per non indurre sospetti. Passata una giornata, il server dell’hacker risponde, e invia un archivio compresso – col nome di “shadowbrokers.zip” – che si scompatta andando a depositare componenti in “C:bin”, “C:config” (ove vengono rilasciati gli exploit), e “C:payloads”.

A questo punto, EternalRocks/BlueDoom entra in azione, e – senza far danni, quindi senza criptare o cancellare i dati, o carpire le informazioni personali – inizia a scansionare tutta internet alla ricerca di PC che abbiano lasciato la porta 445 aperta: a quel punto, si autoreplica. 

Gli esperti spiegano che, pur non contenendo istruzioni malevole, EternaRocks è pericoloso perché ha un’elevata capacità di replicazione e – una volta armato tramite un comando da remoto – può facilmente trasformarsi nel WannaCry, o nell’Adylkuzz, di turno. Con la differenza che sarà molto più esteso, e che non avrà un interruttore di emergenza (il “Kill Switch”) con il quale lo si potrà bloccare.

Per questo motivo, a meno di non saper creare una routine “mutex”, dotata del contenuto “BaseNamedObjects{8F6F00C4-B901-45fd-08CF-72FDEFF}”, con la quale fargli credere che il PC sia già infetto (dandogli il consiglio di “passare oltre”), l’unico modo per cautelarsi contro l’azione di EternalRocks/BlueDoom consiste nel patchare il sistema Windows con i fix distribuiti – a Marzo – per le versioni più recenti e – qualche settimana fa – anche per XP. 

Video interessanti:
Cosa ne pensa l’autore
Fabrizio Ferrara

Fabrizio Ferrara - Certo che gli ultimi sono proprio periodi da brividi per la sicurezza informatica. Gli hacker, da un annetto a questa parte, stanno acquisendo una capacità di azione impressionante: non è più il singolo virus che formattava il computer, e che si prendeva tramite floppy disk. Ormai, i virus di oggi sono in grado di fare danni in massa: spegnendo internet, creando reti di PC zombie, o facendo pesca a strascico di dati personali e quantitativi di danaro. Decisamente, vien da pensare che un PC sicuro sia solo un PC spento...

Lascia un tuo commento
Commenti
Nicola Fanelli
Nicola Fanelli

24 maggio 2017 - 22:29:19

Forse manco da spento un pc è sicuro

0
Rispondi