Husk lækager af exploits anvendes af WannaCry SMB orm, der forårsager mere end 240,000 opdagelser i 48 timer? Hvis du gør, du ville huske de blev navngivet EternalBlue og DoublePulsar. En ny orm har optrådt, bærer navnet EternalRocks og det har evnen til at være endnu mere brutal end den, der blev brugt til at kopiere WannaCry ransomware og inficere computere i en massiv udbrud.
EternalRocks og dens muligheder
I modsætning til den orm, der bruges til at sprede WannaCry ransomware som bruger 2 udnytter baseret på SMB-tjenester i Windows-operativsystemet, de EternalRocks ormen anvendelser 7 af de udnytter lækket af TheShadowBrokers i begyndelsen 2017. Bedrifter, som var SMB-orienteret i lækagen er følgende:
- EternalBlue
- EternalChampion
- EternalRomance
- EternalSynergy
Ud over disse direkte SMB exploits, EternalRocks bruger også udnytter deployeret til informationsindsamling, kendt som:
- SMBTouch
- ARCHITouch
Ormen bruger også DoublePulsar bruges af SMB-ormen for at holde breder sig til andre maskiner, der ikke har lappet endnu.
Forskellen mellem de to orme er betydeligt højere antal angreb, der anvendes til at inficere en computer, hvilket betyder, at hvis den EternalRocksorm blev frigivet i stedet for SMB-ormen, betydeligt højere antal computere kunne være blevet inficeret med WannaCry ransomware (løbet 240,000 infektioner).
Men, der er også det faktum, at EternalRocks orm anvender en mere forsinket infektion proces, fordi den har to stadier af at installere sig selv på en given computer.
Malware forskere føler overbevist om, at denne forsinkelse skyldes flere forskellige aktiviteter, der har til formål at sløre ormen mens den inficerer computere.
I øjeblikket, EternalRocks er helt uskadelige, fordi det ikke er aktiveret, og mange af de Windows-computere er angiveligt opgraderet efter den massive WannaCry udbrud 1 en uge siden.
Men, ormen har en funktion, der mangler i SMB ormen bruges til at sprede WannaCry og denne funktion er at være i stand til at sprede sig uden en såkaldt ”kill switch” webdomæne. Et sådant domæne blev standset ved malware forsker med kaldenavn MalwareTech (@MalwareTechBlog) i Twitter. Hvis denne orm er frigivet, det eneste, forhindrer det ville være at have dit Windows-system fuldt opgraderet med de nyeste sikkerhedsrettelser, da der er ingen måde for malware forskere til at stoppe det. Mange føler overbevist om, at de fleste ransomware cyber-kriminelle ønsker at få deres hænder på denne orm, så vi anbefaler at pas på dig selv og lære at holde dine data sikre før den uundgåelige sker.