Dopo lo scoppio di WannaCry la scorsa settimana, i ricercatori hanno individuato diverse campagne che sfruttano la vulnerabilità di Windows SMB (CVE-2017-0143), denominata Eternalblue, la quale ha già compromesso centinaia di migliaia di computer in tutto il mondo.
Le due campagne di hacking appena scoperte, una tracciata in Russia e un’altra in Cina, sono molto più pericolose di WannaCry, in quanto pare che alcuni hacker piuttosto sofisticati stiano sfruttando Eternalblue per installare il malware Botnet in backdoor ed esfiltrare credenziali.
CAMPAGNA RUSSA – FURTO DI CREDENZIALI
Secdo ha scoperto che i cyber criminali in questione iniettano un thread dannoso nel processo ‘lsass.exe‘, sfruttando l’exploit Eternalblue.
Una volta infettato, il thread inizia a scaricare più moduli dannosi e quindi ad accedere alla DLL di SQLite per recuperare le credenziali di accesso salvate dagli utenti sul browser Firefox di Mozilla.
Le credenziali rubate vengono quindi inviate attraverso la rete al server di comando e di controllo dell’hacker, utilizzando una connessione crittografata in modo da nascondere la posizione reale del server.
Una volta inviata, una variante del ransomware CRY128, appartenente alla famigerata famiglia di ransomware Crypton, inizia a scansionare la memoria crittografando tutti i documenti sulla macchina vittima.
Secondo Secdo, “almeno 5 dei più venduti produttori Next Gen AV e Anti-Malware erano in esecuzione sugli endpoint e non sono stati in grado di rilevare e arrestare questo attacco. Questo è probabilmente dovuto alla natura del thread.”
Questo attacco è stato rintracciato fino a fine aprile, cioè tre settimane prima dell’epidemia di WannaCry. L’attacco proviene da un indirizzo IP Russo(77.72.84.11), ma ciò non significa che gli hacker siano russi.
CAMPAGNA CINESE -INSTALLA ROOTKIT E DDoS BOTNET
Anche questa campagna risale a fine aprile. In maniera simile all’attacco russo, viene generato un thread dannoso all’interno del processo lsass.exe.
Ma, invece di rimanere solo in memoria, il payload iniziale si collega ad un server di comando e controllo cinese sulla porta 998 (117.21.191.69) e scarica un noto rootkit backdoor.
Una volta installato, il payload installa un malware cinese Botnet, dotato di funzionalità di attacco DDoS, sulla macchina interessata.
“Questi attacchi dimostrano che molti endpoint possono ancora essere compromessi nonostante l’installazione dell’ultima patch di sicurezza”, ha concluso Secdo. “Consigliamo vivamente di utilizzare una soluzione che sia in grado di registrare eventi a livello di thread per cercare, mitigare e valutare il potenziale danneggiamento nel più breve tempo possibile.”
Queste campagne dannose sono passate inosservate per settimane perché, a differenza di WannaCry, lo scopo di questi attacchi era diverso dato che i sistemi sono stati colpiti per lungo tempo in maniera quasi invisibile. L’esempio più recente è di “Adylkuzz“, un malware di crittografia, il quale, sfruttando anch’esso la vulnerabilità di Windows SMB, si era già diffuso almeno due settimane prima dello scoppio di WannaCry.
Questo è solo l’inizio in quanto diversi attacchi come, ad esempio, WannaCry, non sono stati ancora completamente fermati. Inoltre, dato l’ampio impatto degli exploit NSA, hacker e cyber criminali sono in attesa della prossima release degli Shadow Brokers, che hanno promesso di far trapelare ulteriori exploit già dal mese prossimo.