Lembre-se os vazamentos de exploits usados pelo worm WannaCry SMB que causam mais de 240,000 detecções em 48 horas? Se você fizer, você se lembraria eles foram nomeados EternalBlue e DoublePulsar. Um novo worm apareceu, carregando o nome EternalRocks e tem a capacidade de ser ainda mais brutal do que aquele que foi usado para replicar o ransomware WannaCry e infectar computadores em um surto massivo.
EternalRocks e suas capacidades
Ao contrário do worm que é usado para espalhar o ransomware WannaCry que usa 2 explorações baseadas nos serviços SMB no sistema operacional Windows, o worm EternalRocks usa 7 das explorações vazadas por TheShadowBrokers no início 2017. As explorações que foram orientadas para SMB no vazamento são as seguintes:
- EternalBlue
- EternalChampion
- EternalRomance
- EternalSynergy
Além dessas explorações diretas de SMB, EternalRocks também usa explorações implantadas para coleta de informações, conhecido como:
- SMBTouch
- ARCHITouch
O worm também usa o DoublePulsar usado pelo worm SMB para continuar se espalhando para outras máquinas que ainda não foram corrigidas.
A diferença entre os dois worms é o número significativamente maior de exploits usados para infectar um computador, o que significa que se o EternalRocksworm foi lançado em vez do worm SMB, quantidade significativamente maior de computadores podem ter sido infectados com WannaCry ransomware (sobre 240,000 infecções).
Contudo, há também o fato de que o EternalRocks worm usa um processo de infecção mais demorado, porque tem dois estágios de instalação em um determinado computador.
Os pesquisadores de malware estão convencidos de que esse atraso é causado por várias atividades diferentes que visam ofuscar o worm enquanto ele infecta os computadores.
No momento, EternalRocks é completamente inofensivo porque não é ativado e muitos dos computadores Windows são supostamente atualizados após a ocorrência do surto massivo de WannaCry 1 uma semana atrás.
Contudo, o worm tem um recurso que falta no worm SMB usado para espalhar o WannaCry e esse recurso é ser capaz de se espalhar sem o chamado domínio da web “kill switch”. Esse domínio foi interrompido pelo pesquisador de malware com o apelido MalwareTech (@MalwareTechBlog) no Twitter. Se este worm for lançado, a única coisa que o impede seria ter seu sistema Windows totalmente atualizado com os patches de segurança mais recentes, uma vez que não há como os pesquisadores de malware pará-lo. Muitos se sentem convencidos de que a maioria dos criminosos cibernéticos de ransomware gostaria de colocar as mãos neste worm, então nós recomendamos Fique seguro e aprender como mantenha seus dados seguros antes que o inevitável aconteça.
Ventsislav Krastev
Ventsislav é especialista em segurança cibernética na SensorsTechForum desde 2015. Ele tem pesquisado, cobertura, ajudando vítimas com as mais recentes infecções por malware, além de testar e revisar software e os mais recentes desenvolvimentos tecnológicos. Formado marketing bem, Ventsislav também é apaixonado por aprender novas mudanças e inovações em segurança cibernética que se tornam revolucionárias. Depois de estudar o gerenciamento da cadeia de valor, Administração de rede e administração de computadores de aplicativos do sistema, ele encontrou sua verdadeira vocação no setor de segurança cibernética e acredita firmemente na educação de todos os usuários quanto à segurança e proteção on-line.
mais Posts - Local na rede Internet
Me siga: