ULTIME NEWS: Gyala riconosciuta Sample Vendor nel documento “Emerging Tech: AI in CPS Security” di Gartner Leggi

EternalBlue

L’exploit che ha rivelato la fragilità digitale globale

Partiamo dall’inizio, cos’è EternalBlue?

EternalBlue (malgrado il nome evocativo di un fantastico mare da visitare) è in realtà l’exploit più longevo di tutti i tempi. È un exploit di Microsoft originariamente sviluppato dalla National Security Agency (NSA) come strumento di intelligence, che permetteva l’accesso remoto ai dati contenuti nei dispositivi che utilizzavano Microsoft. Nel 2017 il gruppo hacker Shadow Brokers lo ha sottratto alla NSA dando vita a una serie di attacchi (devastanti) che conosciamo con altro nome.

Come agisce

La cyber kill-chain di EternalBlue – quando sfruttato dagli hacker a scopo negativo – segue una strategia chirurgica:

  1. Ricognizione: Scansione automatizzata di reti vulnerabili
  2. Intrusione: Sfruttamento di SMB per accesso senza autenticazione
  3. Propagazione: Replicazione autonoma del malware
  4. Infiltrazione: Installazione di payload malevoli
  5. Distruzione: Crittografia o danneggiamento dei sistemi

WannaCry (2017) il primo 

Il 12 maggio 2017, il ransomware WannaCry ha dimostrato il potenziale distruttivo di EternalBlue. 
In sole 24 ore, oltre 200.000 sistemi in 150 paesi sono stati attaccati, causando danni economici stimati intorno a 4 miliardi di dollari.

Gli attacchi hanno colpito indiscriminatamente ma il Regno Unito subì l’attacco più feroce: gli ospedali britannici dovettero sospendere gli interventi chirurgici, le aziende di telecomunicazioni subirono interruzioni dei servizi e le infrastrutture critiche furono paralizzate.
Nel resto del mondo altri attacchi, tra i quali ricordiamo, a titolo di esempio ma sono stati molti di più, quelli perpetrati alla Nissan e Renault in Francia, FedEx  in USA , Hitachi e la linea ferroviaria in Giappone e ancora la Russian Railroad e la banca VTB. Malgrado la diffusione capillare dell’attacco, dal punto di vista degli hacker fu un fallimento, poiché il riscatto (da pagare in bitcoin) registrò valori bassissimi.

NotPetya: l’evoluzione della minaccia 

Pochi mesi dopo WannaCry (Maggio 2017), NotPetya dimostrò un avanzato livello di sofisticazione. Inizialmente mascherato da ransomware, si rivelò uno strumento potente che colpì aziende internazionali come Maersk e FedEx, causando danni per oltre 10 miliardi di dollari. NotPetya però – oltre all’impatto economico – mostrò presto la sua vera intenzione: la diffusione di disservizi.

Alla base dell’attacco c’era sempre l’exploit Eternalblue, grazie al quale NotPeya penetrava nella rete propagandosi attraverso i sistemi interconnessi, paralizzandoli.

Indexsinas 

Sempre sfruttando la vulnerabilità EternalBlue incontriamo nel 2019 il worm Indexsinas con la caratteristica – insita nei worm – di auto-propagarsi. L’attacco colpì i settori sanitario, educativo, telecomunicazioni e ospitalità. Ma, anche qui, l’obiettivo finale non era il riscatto. 
Piuttosto fu quello di permettere agli hacker di utilizzare le macchine attaccate per il mining per le operazioni di cryptomining (impedendo a chiunque di accedere alle statistiche dei loro portafogli).

EternalBlue è davvero ancora pericoloso?

EternalBlue rimane ancora una minaccia significativa, ma con rischi ridotti: Microsoft ha rilasciato patch di sicurezza già nel marzo 2017, ma i sistemi non aggiornati restano vulnerabili, ad esempio:

  • Versioni legacy di Windows (Windows XP, Windows 7)
  • Sistemi in aziende o infrastrutture con aggiornamenti obsoleti
  • Dispositivi IoT o embedded con sistemi operativi datati

Cosa possiamo fare noi per bloccare questi attacchi e impedire i relativi danni

La nostra soluzione di cyber security AGGER  fa detection e reaction difendendo nativamente i sistemi operativi Win XP e Win 7. Anche per questo difendere i propri sistemi legacy con Agger può aggiungere quello strato di cybersecurity che in molte aziende ancora manca.