Gli hacker del gruppo Shadow Brokers hanno rilasciato tutti gli strumenti di hacking utilizzati dagli 007 americani per le operazioni di spionaggio. A seguito del rilascio, avvenuto ad Aprile 2017, diversi gruppi di hacking e singoli hacker hanno iniziato ad usarli, ognuno con il proprio obiettivo.
La fonte di dati rilasciata ad aprile è stata ritenuta la pubblicazione più dannosa da parte degli Shadow Brokers fino a quella data, poiché ha pubblicamente trapelato un sacco di strumenti di hacking di Windows, inclusi i pericolosi exploit di Windows SMB.
Dopo lo scoppio di WannaCry la scorsa settimana, i ricercatori hanno individuato diverse campagne che sfruttano la vulnerabilità di Windows SMB (CVE-2017-0143), denominata Eternalblue, la quale ha già compromesso centinaia di migliaia di computer in tutto il mondo.
Diverse fonti hanno affermato che molti gruppi o singoli individui stanno sfruttando attivamente l’Eternalblue per motivi diversi.
Inoltre, l’exploit Eternalblue SMB (MS17-010) è stato portato a Metasploit, un framework di test di penetrazione che consente ai ricercatori e agli hacker di sfruttare facilmente questa vulnerabilità.
Secdo, una piattaforma di risposta agli incidenti, ha recentemente scoperto due campagne di hacking separate che stavano sfruttando gli exploit di Eternalblue SMB già tre settimane prima dello scoppio di WannaCry.
Quindi, non sarebbe una sorpresa scoprire altri gruppi di hacking, magari pagati da governi o bande criminali che, sfruttando gli exploit di Eternalblue , potrebbero raggiungere grandi organizzazioni o semplici individui.
Le due campagne di hacking appena scoperte, una tracciata in Russia e un’altra in Cina, sono molto più pericolose di WannaCry, in quanto pare che alcuni hacker piuttosto sofisticati stiano sfruttando Eternalblue per installare il malware Botnet in backdoor ed esfiltrare credenziali.
Secondo Secdo, questi attacchi potrebbero rappresentare un rischio molto più elevato rispetto a WannaCry, perché anche se le aziende bloccano WannaCry e installano la patch di Windows, “un backdoor può persistere e compromettere credenziali, le quali possono essere utilizzate per riconquistare l’accesso” ai sistemi interessati.
Entrambe le campagne utilizzano un flusso di attacchi simile. Inizialmente viene infettata la macchina vittima attraverso l’installazione di un malware. Dopodichè, sfruttando gli Eternalblue, vengono infettati anche gli altri dispositivi nella rete. Alla fine viene creato un collegamento nascosto all’interno delle applicazioni legittime, attraverso il quale vengono esfiltrati i dati relativi alle credenziali d’accesso in backdoor.