Een jaar later: EternalBlue-exploit nu populairder dan tijdens WannaCry-uitbraak

Het is een jaar geleden dat de WannaCryptor.D ransomware (ook bekend als WannaCry en WCrypt) een van de grootste cyberaanvallen grootschalige verstoringen in de wereld veroorzaakte. Terwijl de dreiging zelf niet langer een ravage aanricht over de hele wereld, bedreigt de onderliggende kwetsbaarheid, waar WannaCry gebruik van maakte (bekend als EternalBlue) nog steeds niet-gepatchte en onbeschermde systemen. Zoals de onderzoeksgegevens van ESET laten zien, is de populariteit van EternalBlue in de afgelopen maanden enorm gestegen en heeft een recente toename zelfs de grootste pieken van 2017 overtroffen.

De EternalBlue-exploit maakt gebruik van een kwetsbaarheid in het SMB Protocol van Microsoft (behandeld in Microsoft Security Bulletin MS17-010). Aanvallers scannen het internet af. Blijkt een systeem kwetsbaar voor de aanval, dan wordt de desbetreffende machine geïnfecteerd. Dit  was het mechanisme achter de effectieve distributie van WannaCryptor.D ransomware via netwerken.

Wat interessant is, is dat volgens ESET’s onderzoeksgegevens EternalBlue onmiddellijk een kalmere periode had na de WannaCryptor-campagne van 2017: in de loop van de volgende maanden vielen pogingen om de EnternalBlue-exploit te gebruiken terug tot ‘slechts’ honderden detecties per dag. Sinds september vorig jaar is het gebruik van de exploit langzaam weer in een stroomversnelling gekomen, voortdurend groeiend en bereikte medio april 2018 nieuwe hoogten.

Een mogelijke verklaring voor de nieuwste piek is de Satan ransomware-campagne, maar dit kan ook worden gekoppeld aan andere cybercrime activiteiten.

We moeten benadrukken dat de infiltratiemethode die door EternalBlue wordt gebruikt, niet succesvol is op apparaten met de laatste beveiligingsupdates en up-to-date anti-malware software. Toch zijn er nog steeds vele kwetsbare machines te vinden op het internet. Dit zegt iets over het beveiligingsniveau van deze machines volgens Dave Maasland, Managing Director van ESET Nederland. “We hebben gezien dat bedrijven veel hebben geleerd van deze grootschalige aanval. Toch komen wij nog regelmatig kwetsbare systemen tegen, ook in Nederland. Daarom moeten we extra benadrukken dat WannaCry voorbij is, maar de dreiging van EternalBlue en alles wat daar misbruik van maakt, nog steeds aanwezig is.”

EternalBlue heeft veel spraakmakende cyberaanvallen mogelijk gemaakt. Behalve WannaCryptor, dreef het ook de destructieve Diskcoder.C (ook bekend als Petya, NotPetya en ExPetya) aan in juni 2017, evenals de BadRabbit ransomware-campagne in het vierde kwartaal van 2017. Het werd ook gebruikt door Sednit (aka APT28, Fancy Bear en Sofacy) cyberspionagegroep om wifi-netwerken in Europese hotels aan te vallen.

De exploit is ook geïdentificeerd als een van de verspreidingsmechanismen voor kwaadwillende cryptominers, waarmee cybercriminelen computers van slachtoffers gebruiken om cryptocoins te “minen”. Recentelijk werd het ingezet om de Satan ransomware-campagne te distribueren, die slechts enkele dagen na de ontdekking van de EternalBlue-piek van medio april 2018 door ESET’s telemetrie werd beschreven.

De EternalBlue-exploit zou waarschijnlijk in 2016 zijn gestolen van de NSA en online gelekt op 14 april 2017 door een groep genaamd Shadow Brokers. Microsoft heeft updates uitgebracht die het SMB-beveiligingslek op 14 maart 2017 hebben opgelost, maar tot op de dag van vandaag zijn er veel niet-gepatchte machines ‘in the wild’.

Deze exploit en alle aanvallen die tot nu toe zijn ingeschakeld, wijzen op het belang van tijdige patches en de behoefte aan een betrouwbare en meerlaagse beveiligingsoplossing die de onderliggende kwaadwillende tool kan blokkeren.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *