Ricordate “WannaCry” il ransomware che ha infettato più di 200 mila computer in tutto il mondo, mettendo in ginocchio imprese, ospedali, ed uffici? Avete temuto per l’azione del subdolo “Adylkuzz” che, in modo silente, trasformava i PC i minatori di cryptovaluta? Ecco: secondo gli esperti di sicurezza, tutto ciò potrebbe esser nulla in confronto alle capacità operative del nuovo virus EternalRocks.
EternalRocks, o BlueDoom (secondo la norvegese Heimdal Security), è un malware scoperto dal Cert (centro di sicurezza governativo) della Croazia, e confermato anche dagli esperti dei laboratori Trend Micro: da quanto è emerso, si tratta di un codice malevolo che sfrutta 7 exploit, scoperti dalla NSA e divulgati dagli hacker ShadowBrokers, che vanno a colpire l’SMB di Windows, ovvero il “MicrosoftServer Message Block” che si occupa dell’interazione tra i nodi di una rete.
Nello specifico, si tratta di EternalBlue e DoublePulsar, già usati per WannaCry e Adylkuzz, e di altri 5 exploit dello stesso genere (ArchiTouch, EternalChampion, EternalRomance, EternalSynergy, e SMBTouch).
Il malware EternalRocks/BlueDoom prima infetta un terminale, vi scarica il programma “UpdateInstaller.exe” necessario a ricevere ordini dal server remoto di comando e controllo tramite la rete anonima Tor, poi resta in silenzio, per 24 ore, per non indurre sospetti. Passata una giornata, il server dell’hacker risponde, e invia un archivio compresso – col nome di “shadowbrokers.zip” – che si scompatta andando a depositare componenti in “C:bin”, “C:config” (ove vengono rilasciati gli exploit), e “C:payloads”.
A questo punto, EternalRocks/BlueDoom entra in azione, e – senza far danni, quindi senza criptare o cancellare i dati, o carpire le informazioni personali – inizia a scansionare tutta internet alla ricerca di PC che abbiano lasciato la porta 445 aperta: a quel punto, si autoreplica.
Gli esperti spiegano che, pur non contenendo istruzioni malevole, EternaRocks è pericoloso perché ha un’elevata capacità di replicazione e – una volta armato tramite un comando da remoto – può facilmente trasformarsi nel WannaCry, o nell’Adylkuzz, di turno. Con la differenza che sarà molto più esteso, e che non avrà un interruttore di emergenza (il “Kill Switch”) con il quale lo si potrà bloccare.
Per questo motivo, a meno di non saper creare una routine “mutex”, dotata del contenuto “BaseNamedObjects{8F6F00C4-B901-45fd-08CF-72FDEFF}”, con la quale fargli credere che il PC sia già infetto (dandogli il consiglio di “passare oltre”), l’unico modo per cautelarsi contro l’azione di EternalRocks/BlueDoom consiste nel patchare il sistema Windows con i fix distribuiti – a Marzo – per le versioni più recenti e – qualche settimana fa – anche per XP.