Beveiligingsverkoper ESET heeft onlangs de laatste rapporten met betrekking tot Windows-aanvallen gedetailleerd. Onderzoeker Ondrej Kubovič publiceerde na een jaar een studie over het EternalBlue-exploit en de effecten ervan. Om een ​​lang verhaal kort te maken, de uitbuiting werd zelfs populairder dan tijdens de WannaCry-uitbraak. Er is een zorgwekkende toename van het aantal aanvallen op basis van de exploit.

" En zoals de telemetriegegevens van ESET aantonen, is de populariteit ervan de afgelopen maanden gegroeid, en een recente piek overtrof zelfs de grootste pieken van 2017 ", legt de onderzoeker uit.

EternalBlue exploit is sterker dan ooit

De exploit werd in april 2916 door de hackergroep Shadow Brokers van de NSA gestolen en profiteert van een kwetsbaarheid die is gevonden in het Windows Server Message Block (SMB) -protocol. Microsoft heeft de patches uitgerold nog voordat het beveiligingslek openbaar werd.

Helaas zijn aanvallers nog steeds op zoek naar doelen, en volgens de onderzoeker van ESET scannen cybercriminelen het internet op blootgestelde SMB-poorten en proberen ze hosts te compromitteren met een exploit waardoor payloads op de doelcomputer kunnen worden verzonden.

Een mogelijke verklaring voor de laatste piek is de Satan ransomware-campagne rond die data, maar deze kan ook worden verbonden met andere kwaadaardige activiteiten. De exploit is ook geïdentificeerd als een van de verspreidingsmechanismen voor kwaadaardige cryptominers. Meer recentelijk werd het ingezet om de Satan ransomware-campagne te verspreiden, beschreven slechts een paar dagen nadat ESET's telemetrie de EternalBlue-piek medio april 2018 ontdekte.

Microsoft heeft al beveiligingsoplossingen beschikbaar gemaakt

De patches om dit beveiligingslek te verhelpen zijn al beschikbaar, en dit betekent dat aanvallers alleen systemen kunnen hacken waarop ze niet zijn geïnstalleerd. Ze werden uitgebracht door Microsoft in maart 2017 en bijgewerkte computers zouden al beschermd moeten zijn.

ESET merkt ook op dat “ de infiltratiemethode die wordt gebruikt door EternalBlue niet succesvol is op apparaten die worden beschermd door ESET. Een van de meerdere beveiligingslagen - de module Network Attack Protection van ESET - blokkeert deze dreiging op het punt van binnenkomst."

Het toenemende aantal aanvallen suggereert dat er nog steeds veel systemen zijn waarop de patches niet zijn geïnstalleerd, wat veel zorgen baart.