EternalBlue è tornato e comanda WannaMine

L’exploit rubato dagli archivi della NSA è alla base del malware che trasforma i computer in minatori di criptomonete

Nei mesi scorsi si è fatto un gran parlare di EternalBlue, l’exploit realizzato dalla NSA e rubato dai server dell’agenzia federale dagli hacker del gruppo Shadow Brokers. A detta degli analisti, proprio il pacchetto è stato usato per creare la minaccia WannaCry, che nella seconda parte del 2017 ha messo in crisi sistemi informatici in tutto il mondo, compresi quelli di ospedali, multinazionali del settore automotive, manifatturiero e molto altro. EternalBlue però si è mostrato estremamente versatile, tanto da potenziare pure NotPetya, un attacco successivo e meno distruttivo di WannaCry ma comunque in grado di fare danni un po’ ovunque sotto forma di ransomware.

Cosa succede

Stando a Panda Security, EternalBlue sta continuando la sua missione camaleontica, insediandosi questa volta nei computer in maniera diversa. L’exploit infatti sarebbe stato usato per diffondere un malware che, una volta nel PC, prende possesso della CPU per convertirne il lavoro in attività di produzione di monete digitali, come Bitcoin e Monero. CloudStrike, che è andata più a fondo nella questione, ha definito il virus WannaMine, legandolo evidentemente a quello dello scorso anno, almeno nella base di programmazione.

Riconoscerlo nella propria rete non è per nulla semplice, anche perché l’ennesima trasformazione non da segni di malfunzionamento della macchina, se non un rallentamento che in certi casi può arrivare al 100% delle risorse occupate dal sistema. Gli obiettivi degli hacker sono specifici: non tanto gli utenti singoli ma le server farm e i data center, con un potenziale di produzione di criptomoneta decisamente superiore. Dal momento della scoperta, i principali tool di rilevamento dovrebbero essere in grado di scovare WannaMine e rimuoverlo senza troppi problemi.

Leggi anche:  Anche le piattaforme più popolari sotto attacco dei cyber criminali