Exploiting-Eternalblue

Một năm sau khi WannaCry bùng phát, khai thác EternalBlue vẫn là mối đe dọa

May 15, 2018 | vietsunshine

Theo các nhà nghiên cứu an ninh mạng, một năm sau khi bùng phát WannaCry ransomware, việc khai thác các NSA-linked vẫn tiếp diễn để phát tán cái mối đe dọa cho các hệ thống chưa được vá.

Đại dịch WannaCry bắt đầu vào ngày 12/05/2017, tấn công các doanh nghiệp ở Tây Ban Nha và hàng chục bệnh viện ở Anh. Malware đã tập trung tấn công Windows 7 và được ước tính gần nửa triệu máy tính và các loại thiết bị khác bị lây nhiễm trong vòng 10 ngày.

“WanaCry như là hồi chuông cảnh tỉnh cho các tổ chức, doanh nghiệp về tình trạng an ninh mạng tụt hậu của họ” Ken Spinner, phó chủ tịch của Field Engineering, Varonis.

WannaCry đã có thể lây lan nhanh chóng vì nó lạm dụng một sự khai thác được cho là bị đánh cắp từ National Security Agency-linked Equation Group. Được gọi là EternalBlue, việc khai thác được công bố vào tháng 4 năm 2017, một tháng sau khi Microsoft phát hành một bản vá cho nó.

EternalBlue nhắm mục tiêu lỗ hổng trong Windows Server Message Block (SMB) của Windows trên cổng 445, nhưng chỉ các phiên bản hệ điều hành cũ hơn (chủ yếu là Windows XP và Windows 7) bị ảnh hưởng.

Mặc dù WanaCry đã bùng nổ và gây ra thiệt hại rất lớn, nhưng nó không phải là malware đầu tiên khai thác lỗ hổng EternalBlue. Trong thời gian trước khi bùng nổ, EternalBlue được sử dụng để khai thác tiền ảo và backdoor. Một họ ransomware với tên gọi UIWIX cũng đã khai thác lỗ hổng này.

Mặc dù Microsoft phát hành một vài bản vá lỗi cho lỗ hổng bảo mật được EternalBlue nhắm vào, bao gồm một bản vá khẩn cấp cho các hệ thống không được hỗ trợ, hàng chục nghìn hệ thống vẫn tiếp tục bị tấn công vào mùa hè năm ngoái.

Mặc dù WanaCry đã “chết” rất nhanh, nhưng EternalBlue vẫn tồn tại và tiếp tục bị khai thác trong cuộc tấn công toàn cầu của NotPetya năm ngoái. Các nhà nghiên cứu bảo mật cho rằng việc khai thác liên kết NSA hiện phổ biến hơn sơ với năm trước.

Đã có hơn 2 triệu người dùng bị tấn công từ tháng 5 năm 2017 đến tháng 5 năm 2018. Số lượng người dùng bị tấn công vào tháng 4/2018 cao gấp 10 lần hồi tháng 5/2017, với trung bình hơn 240.000 người dùng bị tấn công trong mỗi tháng.

Sau thời gian tạm ngưng sau cuộc tấn công WannaCry, việc khai thác EternalBlue bắt đầu tăng tốc vào tháng Chín năm ngoái và đạt đến tầm cao mới vào giữa tháng 4 năm 2018.

Lý do chính của những diễn biến trên là sự tồn tại của hàng triệu thiết bị có chứa lỗ hổng EternalBlue vẫn tiếp xúc internet.

Nguồn: Security Week

Tags: , ,