Gli esperti di sicurezza lo avevano detto: spegnere il primo ransomware avrebbe causato un rapido lancio della generazione successiva. Così è stato
Si chiama così rocce eterne perché è il ransomware che punta a non scomparire mai, mietendo vittime un po’ ovunque. Si tratta di una minaccia simile a quanto visto nei giorni scorsi con WannaCry, anche se EternalRocks ne migliora (in negativo per noi) alcuni aspetti. Ad esempio sfrutta non solo i due exploit della NSA su cui si era basato il primo, ovvero EternalBlue e DoublePulsar, ma pure EternalChampion, EternalRomance, EternalSynergy, ArchiTouch e SMBTouch, indirizzati principalmente a scovare falle nel MicrosoftServer Message Block, l’SMB che ha il compito di gestire gli accessi condivisi tra i nodi di una stessa rete. A scoprire la pericolosa variante è stata Trend Micro, che ne ha anche dettagliato il funzionamento, con l’obiettivo di diffonderne la conoscenza e un rapido debellamento.
Come agisce
Nella pratica, EternalRocks agisce in due momenti separati. Nel primo si assicura un canale di comunicazione diretto per il computer infetto, attraverso l’installazione di un client TOR che punta direttamente al centro di comando e controllo del server. Dopo 24 ore dal primo contatto, il Command & Control (C&C) invia alla vittima il file shadowbrokers.zip (dal nome degli hacker che hanno contribuito a diffondere online i tool della NSA) che contiene gli exploit. Quando è attivo, EternalRocks effettua ricerche continue su internet per individuare sistemi con la porta 445 aperta, così da insediarsi tramite questa e duplicarsi su altri PC. Tecnicamente non stiamo nemmeno parlando di un ransomware, visto che Rocks non comprende eseguibili maligni, tesi a crittografare gli archivi o a bloccare il computer. La sua pericolosità sta proprio in questo: senza un’azione concreta, le macchine non riescono facilmente a individuarlo, restando infette e potenzialmente alla mercé degli hacker connessi in remoto. Per fortuna il virus usa gli stessi exploit di WannaCry e dunque per evitarlo basta scaricare e patchare il sistema con le ultime definizioni di Microsoft. Cosa può accadere sui dispositivi colpiti è ancora da capire.
