Experti spoločnosti Trend Micro, ktorá patrí k svetovým lídrom v oblasti digitálnej bezpečnosti, varujú pred malvérom EternalRocks.
Ten má tendenciu byť ešte nebezpečnejší ako nedávno rezonujúci malvér WannaCry.
O hrozbe informovalo aj české Národné centrum kybernetickej bezpečnosti a slovenský portál o kybernetickej bezpečnosti Cybersec.sk.
EternalRocks na rozdiel od malvéru WannaCry nepoužíva iba dva uniknuté nástroje Národnej bezpečnostnej agentúry (NSA) EternalBlue a DoublePulsar. Využíva aj ďalších päť, EternalChampion, EternalRomance, EternalSynergy, ArchiTouch a SMBTouch.
Šíri sa zneužívaním chýb v protokole SMB pre zdieľanie súborov v OS Windows. Nový kmeň malvéru ako prvý identifikoval Miroslav Stampar, bezpečnostný výskumník a člen chorvátskeho vládneho bezpečnostného tímu. Zistil, že EternalRocks funguje dvojfázovo.
Najskôr stiahne klienta TOR, ktorého použije ako komunikačný kanál a odošle na Command & Control server. Zo servera prekvapivo nepríde odpoveď hneď, ale až o 24 hodín.
Experti predpokladajú, že dôvodom je snaha malvéru oklamal sandbox a bezpečnostnú analýzu. Odpoveď príde vo forme hlavného komponentu taskhost.exe, ktorý vygeneruje zazipovaný súbor shadowbroker.zip s nástrojmi NSA.
Po rozbalení súboru začne EternalRocks skenovať internet a hľadať systémy s otvoreným portom 445, ktorý slúži ako brána pre sieťového červa. Niektoré zraniteľnosti, zneužité EternalRocks, vyriešila marcová aktualizácia Microsoftu MS17-010.
Na rozdiel od WannaCry nepôsobí EternalRocks na prvý pohľad tak nebezpečne, pretože nemá (zatiaľ) žiadny škodlivý dopad – nežiada výkupné ani nezamyká súbory. Skrýva však nebezpečný potenciál, akonáhle by malvér niekto využil a urobil z neho zbraň.
EternalRocks navyše nemá zabudovaný takzvaný „kill switch“, vďaka ktorému by ho bolo možné jednoducho vypnúť. Koho teda ani útok WannaCry neprinútil aktualizovať svoj systém, toho snáď presvedčí potenciálne ešte nebezpečnejší malvér EternalRocks.
Vzhľadom na to, že EternalRocks využíva rovnaké exploity ako WannaCry, používatelia a administrátori by mali svoje systémy bezprostredne aktualizovať a zabezpečiť.
V každom prípade treba myslieť na to, že prevencia je jednoduchšia ako odstraňovanie následkov prehraného boja s malvérom. Buďte v bezpečí a nainštalujte si každú dostupnú aktualizáciu či už na počítači alebo na smartfóne.
Ak sa zaujímate o digitálnu bezpečnosť, detailnú analýzu minulosti, súčasnosti a budúcnosti ransomvéru ako takého nájdete v oficiálnom PDF dokumente spoločnosti Trend Micro.