“I computer sanno contare solo da 0 ad 1, il resto è professionalità.”

Paola Pomi

Se pensavate che WannaCry fosse stata solo una veloce tragedia nel mondo del reti informatiche, chissà come andrà a finire con il prossimo verme, EternalRocks.

Sfruttando gli altri exploit della NSA sul servizio SMB dei sistemi operativi MS Windows (ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE, e ETERNALSYNERGY, oltre a SMBTOUCH, ARCHITOUCH e DOUBLEPULSAR), a quanto pare dalle prime analisi, EternalRocks si comporta come un vero e proprio verme, ovvero replica sé stesso nei sistemi vulnerabili che trova in rete.

Se può consolare, EternalRocks sembra essere meno pericoloso di WannaCry (che cifrava tutti i files sul computer della vittima) ma rende ogni sistema infettato soggetto al controllo del creatore attraverso la rete cifrata TOR (che scarica ed installa subito dopo l’infezione). Pertanto, ogni PC infetto diventa uno zombie in attesa di essere sfruttato, ad esempio come ramsonware (come WannaCry), come RAT (Remote Administration Tool) o come bot per sferrare attacchi DDOS.

Come già detto, anche questo worm sfrutta vulnerabilità note sul servizio SMB (MS17-010) che Microsoft ha già corretto nelle sue ultime patch:

EternalBlue EternalSynergy EternalRomance EternalChampion MS17-010 msft-cve-2017-0143 msft-cve-2017-0144 msft-cve-2017-0145 msft-cve-2017-0146 msft-cve-2017-0147 msft-cve-2017-0148

Rimangono pertanto validi i suggerimenti per difendersi da WannaCry: effettuare subito gli aggiornamenti e verificare di non avere, sul proprio sistema, servizi attivi non utilizzati.

Come strumenti di verifica, oltre al consueto nmap, si può usare:

WannaCryNetScanner, per verificare la vulnerabilità alle falle “MS17-010“ negli host della nostra rete;

negli host della nostra rete; doublepulsar-detection-script, per una verifica della compromissione da parte di DoublePulsar (RING-0 multi-version kernel mode payload) dei sistemi MS Windows;

per maggiori informazioni su EternalRocks: