Agora faz mais de dois anos que o mundo foi introduzido no EternalBlue, a exploração do Microsoft Windows que se acredita ter sido desenvolvida pela Agência de Segurança Nacional (NSA) e posteriormente vazada. Essa introdução inicial foi por meio do ataque de ransomware WannaCry, que se espalhou rapidamente pelo mundo. Infelizmente, parece que o EternalBlue que explora malwares ainda está vivo hoje e está chutando forte.
O que o worm está infectando máquinas Windows?
Uma botnet conhecida como Smominru está ativa desde 2017, visando máquinas Windows usando uma combinação de ataques de worm e força bruta do EternalBlue. A Unidade de Análise de Ameaças (TAU) da Carbon Black publicou uma notificação de inteligência sobre ameaças em relação a Smominru em 12 de agosto. Ele relatou como a campanha principalmente de criptografia evoluiu para incluir várias novas técnicas de ataque, como LOLBins , usadas com efeito devastador pelo recente Windows Nodersok. ataque, malware modificado e roubo de credenciais. A Smominru também implementa uma variedade de outras cargas úteis e backdoors, tornando-a uma ameaça altamente perigosa para sua rede.
Nenhum aviso da NSA, mas Smominru continua sendo uma ameaça global
Embora a NSA não tenha avisado os usuários do Windows para atualizarem como fez com a recente exploração do worm BlueKeep, Smominru já se tornou global. Países com milhares de máquinas comprometidas incluem Brasil, China, Rússia, Taiwan e EUA. Mas a taxa de infecção em si é nada menos que impressionante, como explicarei em um momento. A Kaspersky publicou um aviso para os usuários do Windows que ainda não corrigiram seus sistemas contra a exploração EternalBlue, apesar da Microsoft disponibilizar a correção em 14 de março de 2017. Os usuários do Windows são aconselhados a verificar este guia de suporte da atualização da Microsoft para verificar se o MS17-010 relevante atualização foi instalada.
A impressionante taxa de infecção desse worm do Windows
Por que todo esse barulho? É essa taxa impressionante de infecção que mencionei anteriormente que diz respeito a pesquisadores de segurança. Um relatório recente da Guardicore Labs descobriu que a Smominru está infectando sistemas Windows a uma taxa de 4.700 máquinas por dia.
Quando o worm botnet entrar em um sistema, ele se moverá lateralmente, sempre que possível, e infectará o maior número possível de máquinas dentro de uma organização. Em apenas um mês, cerca de 90.000 máquinas infectadas foram comprometidas. O Windows 7 e o Windows Server 2008 constituem a fatia mais significativa da torta de infecção do Windows. Cerca de 85% das máquinas comprometidas estavam executando uma ou outra, mas também se constatou que os usuários do Windows Server 2012, Windows XP e Windows Server 2003 eram em risco.
Conselho de mitigação de worms do Windows
Talvez o mais preocupante de tudo, no entanto, esse relatório tenha revelado que 25% dos hosts comprometidos estão infectados mais de uma vez, sugerindo que as vítimas não estão corrigindo a causa raiz da suscetibilidade: vulnerabilidade ao EternalBlue. Obviamente, como os sistemas operacionais em maior risco são aqueles que estão sem suporte há algum tempo ou estão atingindo o status de final de vida útil, talvez o status sem correção dessas máquinas seja compreensível. No entanto, os usuários devem verificar ainda, pois a Microsoft disponibilizou essas atualizações para sistemas que normalmente não teriam suporte, tal era a gravidade da ameaça.
Como a Smominru também conta com senhas fracas para o acesso de força bruta aos sistemas, recomenda-se uma auditoria de senha para garantir a utilização de senhas fortes. Onde os sistemas não podem ser alinhados com as atualizações de software atuais, os usuários são aconselhados a garantir medidas adicionais de mitigação, como detecção de ameaças em tempo real dos fluxos de tráfego da Internet e microssegmentação da rede sempre que possível.
FONTE: Forbes