EternalBlue Colpisce Ancora: Gli Hacker Stanno Dirottando I PC Con Malware Di Criptovaluta Utilizzando L’exploit WannaCry

Un exploit scoperto all’interno dei file è già stato collegato all’epidemia di massa WannaCry che ha abbattuto parti del NHS a giugno, e ora è da biasimare per un malware di mining di criptovaluta che dirotta i PC a livello globale.

I ricercatori di sicurezza di TrendMicro chiamano questa famiglia di malware di mining di criptovaluta CoinMiner, ed è un tipo di “malware senza file” che lo rende incredibilmente difficile da analizzare e rilevare. Come suggerisce il nome, tali minacce malware sono prive di file, il che significa che è più facile per loro nascondersi su una rete.

La particolare minaccia identificata da TrendMicro utilizza WMI (Strumentazione gestione Windows) per risiedere su computer e reti. WMI viene utilizzato per automatizzare le attività su computer remoti e consente agli utenti di accedere ai dati di gestione da questi computer. In particolare, CoinMiner utilizza l’applicazione di scripting WMI Standard Event Consumer (scrcons.exe) ed entra in un sistema utilizzando la vulnerabilità EternalBlue trapelata – MS17-010.

Il cosiddetto “flusso di infezione” inizia con MS17-010. Questa vulnerabilità viene utilizzata per eliminare ed eseguire una backdoor sul sistema che installa vari script WMI. Questi script si collegano ai server per ottenere istruzioni e scaricare il malware minatore di criptovaluta.

“La combinazione di script WMI senza file ed EternalBlue rende questa minaccia estremamente furtiva e persistente”, spiega Buddy Tancio di TrendMicro. Tancio ha continuato che il malware di mining include un timer che attiva automaticamente lo script WMI dannoso ogni tre ore.

Cos’è il malware di mining di criptovaluta?

La criptovaluta è una stringa di dati crittografata che denota un’unità di valuta. È monitorato su un sistema peer-to-peer sulla blockchain. Le criptovalute vengono create (e crittografate) in blocchi utilizzando algoritmi che vengono mantenuti utilizzando una tecnica nota come mining. I minatori sono ricompensati finanziariamente per l’estrazione di questi blocchi, ma il processo coinvolge una rete di computer per convalidare le transazioni ed è un compito incredibilmente impegnativo dal punto di vista computazionale, che richiede processori e schede grafiche di fascia alta, oltre a una grande quantità di potenza.

I criminali informatici utilizzano il malware di mining per connettere centinaia e migliaia di computer alle reti per aumentare il loro rendimento dal mining senza dover investire in più hardware. In particolare, il malware di mining di criptovaluta è progettato per “zombificare” le botnet dei computer e si diffonde in modo simile ad altre minacce, tra cui e-mail di spam e URL dannosi.

“Abbiamo visto l’emergere di strumenti di hacking e backdoor relativi al mining di Bitcoin criminale informatico già nel 2011, e da allora abbiamo visto una varietà di minacce di mining di criptovaluta che aggiungono più funzionalità, come il denial-of-service distribuito e lo spoofing degli URL”, ha detto l’analista delle minacce di TrendMicro Kevin Y Huang. “Nel 2014, la minaccia ha attraversato i dispositivi Android come Kagecoin, in grado di estrarre Bitcoin, litecoin e dogecoin”.

Cos’è EternalBlue?

EternalBlue è il nome dato alla vulnerabilità del software nel sistema operativo Windows di Microsoft. Microsoft ha rilasciato un aggiornamento di sicurezza per correggere il difetto a marzo (prima che il ransomware WannaCry colpisse).

Funziona sfruttando il Microsoft Server Message Block 1.0 su più versioni di Windows tra cui Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012 e Windows Server 2012 R2, Windows RT 8.1, Windows 10 e Windows Server 2016.

A seguito dell’attacco WannaCry, gli esperti di sicurezza di Eset hanno creato uno strumento gratuito che verificherà se la versione di Windows è vulnerabile a EternalBlue. Vale anche la pena rimanere aggiornati con gli aggiornamenti software in generale.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *