Arquivo de etiquetas NSA

PorWagner Lindemberg

Instalações crackeadas do Windows estão infectadas com EternalBlue

O EternalBlue, é o exploit da NSA que fez estragos com o DOUBLEPULSAR no ataque WannaCry.

O código malicioso foi vazado on-line pelo grupo de hackers Shadow Brokers que o roubou do arsenal do Equation Group vinculado à NSA.

O EternalBlue tem como alvo o protocolo SMBv1 do Servidor na porta 445; ele se tornou amplamente adotado na comunidade de desenvolvedores de malware para atingir os sistemas Windows 7 e Windows XP.

A Microsoft solucionou a falha com o MS17-010 e também lançou um patch de emergência para o Windows XP e o Server 2003 em resposta aos ataques de ransomware do WannaCry.

De acordo com uma nova publicação da Avira, os sistemas não corrigidos permanecem expostos a ataques cibernéticos e são serialmente infectados por ameaças.

Ainda há um número significativo de máquinas repetidamente infectadas mais de um ano após os grandes ataques de WannaCry e Petya, disse Mikel Echevarria-Lizarraga, analista sênior de vírus do Avira Protection Lab.

Nossa pesquisa vinculou isso a máquinas Windows que não foram atualizadas em relação à exploração Eternal Blue da NSA e são um alvo aberto para malware.

O número de sistemas não corrigidos expostos online é muito alto, os especialistas apontaram que a maioria deles foi infectada várias vezes. Eles descobriram que as máquinas rodavam instalações crackeadas do Windows, o que significa que não receberam as atualizações de segurança da Microsoft.

Estávamos pesquisando as razões por trás de uma série de máquinas com infecções repetidas, acrescentou Mikel. Descobrimos que muitas dessas máquinas infectadas em série estavam executando falhas de ativação, o que significa que não podem ou não querem atualizar o Windows e instalar atualizações. Isso também significa que eles não receberam o patch de emergência de março de 2017 da Microsoft para esta vulnerabilidade.

A Avira decidiu desativar o protocolo SMB1 totalmente na máquina infectada para interromper o ciclo de infecção sem fim.

Os especialistas descobriram cerca de 300.000 computadores afetados pelo problema, e o Avira Protection está desativando o protocolo SMB1 em cerca de 14.000 computadores diariamente.

A lista dos dez principais países para máquinas infectadas em série é:

  • Indonésia
  • Taiwan
  • Vietnam
  • Tailândia
  • Egito
  • Rússia
  • China
  • Filipinas
  • Índia
  • Turquia

A lista acima não surpreende os especialistas, de acordo com estudos da Statista, os países acima são os principais países para o uso de software não licenciado.

O predomínio de máquinas infectadas fora da América do Norte e da Europa é semelhante aos estudos da Statista sobre o uso de software não licenciado, concluiu a Avira.

Este estudo encontrou taxas de software não licenciadas em média em torno de 52 a 60% fora dos Estados Unidos e da União Européia e caiu para 16% e 28% respectivamente nessas áreas. Geralmente, o software não licenciado não consegue obter os patches mais recentes contra vulnerabilidades como o EternalBlue.

Fonte: securityaffairs.co

PorWagner Lindemberg

Quase um milhão de computadores ainda são vulneráveis a ataques EternalBlue

Ataques de mineração de criptomoeda usando ferramentas da NSA ainda são muito utilizadas um ano depois.

Há cerca de um ano, uma série de ferramentas criadas pela NSA (Agência Nacional de Segurança dos Estados Unidos) foram roubadas e publicadas online — e até hoje elas ainda estão sendo utilizadas por hackers na criação de ransomwares e malwares que mineram criptomoedas.

Uma dessas ferramentas, chamada de EternalBlue, é capaz de invadir praticamente qualquer máquina que utilize Windows. Uma de suas principais utilizações é na criação de ransomwares, que se espalham rapidamente por toda a rede assim que um único computador é infectado, dominando não só computadores, mas qualquer dispositivo que esteja conectado a ela.

Ataques desse tipo já custaram centenas de milhões de dólares para uma série de empresas afetadas pela praga. Mas, mais de um ano depois de a Microsoft ter lançado patches que corrigem as falhas utilizadas pelo EternalBlue, ainda há quase um milhão de computadores e redes vulneráveis a ele.

E, mesmo que as infecções por ransomwares que utilizam a ferramenta tenham diminuído, os hackers ainda a utilizam para infectar computadores com malwares que fazem essas máquinas minerar bitcoins para eles.

É fácil se proteger

De acordo com dados da empresa de segurança eletrônica Cybereason, o único motivo para esse tipo de vírus ainda afetar tantas empresas é o fato de elas não atualizarem seus softwares. Segundo dados da Shodan (um mecanismo de pesquisa utilizado para encontrar quantos computadores e bancos de dados possuem portas abertas que podem ser usadas por um hacker), existem mais de 900 mil servidores que ainda estão vulneráveis aos ataques do EternalBlue.

Na semana passada, a Cybereason foi contratada para resolver um problema em uma empresa que, segundo eles, não pode ser nomeada por motivos contratuais, mas que é uma multinacional que faz parte da lista das 500 maiores empresas da revista Fortune. A companhia em questão foi atingida por um vírus chamado WannaMine, que transforma os computadores da rede em máquinas para a mineração de bitcoins. De acordo com a Cybereason, assim que a primeira máquina foi infectada, o vírus rapidamente se espalhou e se apoderou de mais de mil máquinas em um único dia.

Isso acontece por causa do modo como o WannaMine funciona. Ao utilizar o EternalBlue para penetrar em uma rede, o vírus passa a tentar infectar qualquer computador que esteja conectado a ela — e faz isso de modo persistente, então mesmo que um computador seja desligado, o vírus continuará tentando infectá-lo assim que ele for ligado novamente. Quando se espalha pela rede, ele modifica as configurações de energia de todas as máquinas, impedindo-as de serem desligadas e desativando qualquer outro processo de mineração de criptomoeda que possa estar rodando ali, fazendo com que o computador se dedique exclusivamente à mineração.

A solução para se proteger dessa ferramenta é simples: basta estar em dia com as atualizações do Windows para que o EternaBlue não faça nada contra sua máquina. E, do modo como ele ainda é utilizado em larga escala, é melhor fazer isso antes que os hackers achem um jeito de usar essa ferramenta para algo mais perigoso do que minerar criptomoedas, como, por exemplo, roubar todas as senhas de todos os computadores conectados a uma rede.

Fonte: techcrunch.