Statisíce počítačů pořád obsahují exploit, který spustil WannaCry

Další zpráva
Ondrej Kubovič, ESET Security Awareness Specialist

Exploit EternalBlue byl údajně ukraden NSA (Národní bezpečnostní agentura v USA) v roce 2016 a online jej nahrála skupina Shadow Brokers 14. 4. 2017. Zranitelnost se skrývala v operačních systémech Microsoft v implementaci protokolu Server Message Block pomocí portu 445. Chybu sám Microsoft odhalil a opravil, ještě než se ransomware WannaCry rozšířil. Navzdory všem snahám ale zranitelnost stále v některých systémech zůstává.

Podle dat z webu Shodan existuje dodnes téměř milion nařízení, které používají zastaralý protokol SMB, a „vystavují“ tak port veřejně na internetu. Nejvíce takových zařízení se nachází ve Spojených státech, dále v Japonsku a Rusku.

Počet zařízení se zranitelností | Zdroj: Shodan

Slabé zabezpečení a absence oprav mohou pravděpodobně za to, že počet zneužití exploitu EternalBlue od roku 2017 kontinuálně roste.

Dle telemetrie našich laboratoří je počet útoků využívajících EternalBlue na historickém maximu. Každý den jsou zablokovány stovky tisíc pokusů.

Trend v detekcích exploitu EternalBlue | Zdroj: ESET LiveGrid®

Podobný trend můžeme vidět u velkého počtu uživatelů programů ESET, kteří nahlásí tisíce pokusů o zneužití exploitu.

Trend hlášení pokusu o zneužití exploitu EternalBlue u klientů spol. ESET | Zdroj: ESET LiveGrid®

Kromě zneužití, může tyto statistiky zvyšovat také použití exploitu pro účely vnitřní bezpečnosti. EternalBlue může být použitý bezpečnostním oddělením firmy k odhalení dalších potenciálních slabin v síti firmy.

EternalBlue umožnil, aby došlo k celé řadě vysoce odborných kyber útoků. Krom WannaCryptoru šlo například o Diskcoder.C (známá též Petya, NotPetya a ExPetya) či kampaň BadRabbit v roce 2017. Známá kyber špionážní skupina Sednit (někdy nazývaná také APT28, Fancy Bear nebo Sofacy) využívala exploit proti hotelovým Wi-Fi sítím.

EternalBlue také pomohl rozšířit trojské koně a malware k těžbě kryptoměn v Číně – což vlastně představuje návrat k tomu, jak mezi sebou útočníci o exploitu mluvili před ransomware WannaCry. Tehdy jej považovali za vhodný nástroj k šíření nového ransomwaru na objednávku Yatron.

Tento exploit, a všechny útoky jím umožněné, pouze poukazují na důležitost bezpečnostních oprav a záplat. Kromě toho je zřejmé, že v dnešní době je zásadní mít vícevrstvý bezpečností systém, který dokáže nejen zastavit případný škodlivý kód, ale také objevit mechanismy na pozadí.