Registam-se diariamente centenas de milhares de tentativas de ataque que envolvem o exploit EternalBlue
Passados dois anos desde que o EternalBlue abriu portas para o WannaCryptor (ou WannaCry), um dos piores surtos de ransomware da história. Desde esse incidente, as tentativas de utilizar esse exploit têm vindo a aumentar significativamente, com utilizadores a serem bombardeados por centenas e milhares de ataques diariamente.
O exploit EternalBlue foi supostamente roubado da Agência Nacional de Segurança dos Estados Unidos (NSA) em 2016, e foi filtrado em 14 de abril de 2017, por um grupo conhecido como Shadow Brokers. O exploit aponta para uma vulnerabilidade na implementação do protocolo SMB (Message Server Block) da Microsoft, através da porta 445. A falha foi divulgada de forma privada à Microsoft, que desde logo desenvolveu patch que repara a vulnerabilidade mesmo antes de acontecer o surto do WannaCryptor em 2017. No entanto, e apesar dos esforços, continuam a existir uma grande quantidade de sistemas vulneráveis.
De acordo com dados extraídos do Shodan, existem atualmente cerca de um milhão de máquinas a operar de forma ativa que utilizam o obsoleto protocolo SMB v1, expondo a porta à Internet de forma pública. A maioria destes dispositivos estão nos Estados Unidos, Japão e Rússia.
Más práticas de segurança e a ausência de patchs de segurança instalados são a razão pela qual o uso malicioso do exploit EternalBlue tem vindo a crescer continuadamente desde o início de 2017, quando o mesmo foi filtrado na Internet.
Com base na telemetria da ESET, as tentativas de ataque que envolvem o uso do EternalBlue estão a alcançar picos históricos , com centenas de milhares de instâncias a serem bloqueadas diariamente, como é possível observar na Figura 1.
Uma tendência similar é possível de observar ao analisarmos o número de clientes únicos ESET que reportam milhares de tentativas de utilização do exploit diariamente, como pode ser visto na Figura 2.
Para além do uso malicioso, os números do EternalBlue podem estar a crescer como consequência do seu uso para propósitos de segurança interna. Apesar de ser uma das ferramentas maliciosas mais populares, este exploit pode ser utilizado por departamentos de empresas de segurança como forma de identificação de vulnerabilidades em redes empresariais.
O EternalBlue permitiu muitos ataques informáticos de alto perfil. Para além do WannaCryptor, este exploit tornou possível a campanha destrutiva de Diskoder.C (também conhecida como Petya, NotPetya e ExPetia) e a campanha de ransomware BadRabbit em 2017. Para além disso, personagens conhecidas do mundo da espionagem informática como o grupo Sednit (conhecido como APT28, Fancy Bear e Sofacy) também o utilizaram contra redes Wi-Fi de hotéis.
Foi também recentemente detetado que o EternalBlue foi usado para distribuir Trojans e malware para minerar criptomoedas na China – sendo novamente utilizado na função para a qual foi originalmente projetado, mesmo antes do surto de WannaCryptor – e foi anunciado por hackers black hat como um mecanismo de distribuição para um novo ransomware como um serviço denominado Yatron.
O EternalBlue e todos os ataques informáticos que o envolvem são um ótimo exemplo para evidenciar a importância do lançamento e da instalação de patches de segurança num período de tempo adequado. Para além disso, enfatiza a necessidade de contar com soluções de segurança fiáveis e que implementem múltiplas camadas – tornando possível interromper o payload malicioso e realizar a proteção contra mecanismos em segundo plano.
[…] iriam corrigir as vulnerabilidades das PME, atualizando os seus sistemas operativos, mas hoje ainda vemos deteções do exploit EternalBlue. Pensarão as empresas realmente na segurança da informação desde o início dos seus […]