Imperva, azienda di cybersecurity, ha creato uno strumento gratuito che permette di scoprire quali macchine della propria rete sono ancora vulnerabili agli attacchi condotti con EternalBlue
A distanza di due mesi dai devastanti attacchi condotti con Wannacryci sono ancora migliaia di aziende che non hanno aggiornato i propri sistemi per renderli invulnerabili a EternalBlue, l’exploit utilizzato per diffondere a macchia d’olio il famoso ransomware. Secondo il calcolo fatto da Elad Erez, direttore innovazione di Imperva, azienda di cybersecurity, sono almeno 50.000 i sistemi attualmente a rischio, e in particolare in Europa, Italia compresa. Erez ha scritto sul suo blog che il loro numero, ancora approssimativo e forse inferiore al numero effettivo di macchine a rischio, è il risultato di un lavoro di monitoraggio fatto su 8 milioni di indirizzi ip – e altrettanti computer connessi a Internet – scansionati con un tool messo a punto da lui stesso nei laboratori di Imperva e che si chiama, non a caso, Eternal Blues vulnerability scanner.
Lo scanner permette di monitorare tutti i sistemi che possono essere attaccati usando EternalBlue, l’exploit rubato dagli ShadowBrokers alla National Security agency americana che ha reso possibile l’epidemia di Wannacry mettendo in ginocchio il sistema sanitario inglese, banche, e aereporti; strumento e che è stato successivamente usato per l’attacco NotPetya bloccando la logistica, i trasporti, le banche e le biglietterie di organizzazioni di mezzo mondo dall’Ucraina agli Stati Uniti. E di cui ancora non è certa l’origine, se russa o coreana.
Quello che è certo è che EternalBlue consente la diffusione di malware sulle macchine Windows sfruttando la vulnerabilità di un protocollo di rete, il Windows Server Message Block (SMB) permettendo agli attaccanti di infettare un singolo pc per poi espandersi in tutto il network a cui è collegato. EternalBlue, al contrario di quello che è apparso in un primo momento, quando è stato sfruttato all’interno della campagna ransomware che ha bloccato 200.000 computer in 150 paesi chiedendo agli utenti colpiti un riscatto di 300 dollari, non serve solo a “sequestrare” quanti più computer possibili in attesa del pagamento del “riscatto”, (il ransom), ma è un ottimo metodo per prendere il controllo remoto delle macchine colpite, con effetti potenzialmente disastrosi per l’erogazione di servizi essenziali come acqua, luce, gas e trasporti basati su sistemi informatici.