Vulnerabilidade que o provocou o WannaCry segue ativa
Redação, Infra News Telecom
Segundo a ESET, empresa especializada na detecção proativa de ameaças, a vulnerabilidade que provocou o ransomware WannaCryptor.D (WannaCry ou WCrypt) continua ativa. Conhecida como EternalBlue, ela ameaça sistemas desprotegidos e sem patches. Dados telemétricos da ESET mostram que a sua popularidade cresceu nos últimos meses e teve até picos de atividade, superando os registrados em 2017.
A EternalBlue está associada aos sistemas operacionais da Microsoft, na implementação do protocolo SMB – Server Message Block, por meio da porta 445. Em um ataque, os cibercriminosos examinam a Internet em busca de portas SMB expostas e, caso sejam encontradas, lançam o código do exploit. Quando conseguem explorar essa vulnerabilidade, o alvo afetado executa um payload escolhido pelo cibercriminoso. Este foi o mecanismo usado para a efetiva propagação do ransomware WannaCryptor.D pelas redes, em 2017.
De acordo com a telemetria da ESET, as tentativas de explorar o EternalBlue caíram após a campanha WannaCryptor. Nos meses seguintes, o surto de tentativas EternalBlue caiu para centenas de detecções diárias. No entanto, desde setembro de 2017, o uso desse tipo de exploração voltou a aumentar de forma constante e atingiu novos picos em meados de abril último.
“Uma explicação para esse evento é a campanha do ransomware Satã, que foi detectada perto dessas datas, embora ela também pode estar conectada a outras atividades maliciosas”, disse Camilo Gutierrez, chefe do Laboratório de Pesquisa de ESET América Latina. “O método de infiltração usado pelo EternalBlue não é bem-sucedido em dispositivos protegidos por antivírus robustos, que bloqueiem essa ameaça no ponto de entrada”, completa Gutierrez.
As explorações associadas ao EternalBlue também foram identificadas como um dos mecanismos de propagação de mineradores de criptomoedas maliciosos. E recentemente, ele foi usado na disseminação do ransomware Satã, dias depois que a telemetria da ESET detectou os picos do EternalBlue em meados de abril de 2018.
“A Microsoft emitiu atualizações que corrigiram a vulnerabilidade SMB em 14 de março de 2017, mas até hoje ainda há muitos computadores sem patches. Todos esses ataques destacam a importância de ter os patches no prazo, além de uma solução de segurança confiável com várias camadas de segurança e capaz de bloquear a ferramenta maliciosa subjacente”, concluiu Gutierrez.
