È grazie ai computer non aggiornati che l’exploit EternalBlue dell’NSA può continuare a vivere e ciò porta i dispositivi interessati a rimanere incastrati in un ciclo infinito di infezioni, nel quale a livello del kernel si verificano nuove infezioni man mano che quelle precedenti vengono rimosse.
In genere i computer vulnerabili hanno in esecuzione una versione pirata di un sistema operativo Windows insieme al vecchio protocollo SMB1, preso di mira dall’exploit EternalBlue.
Le infezioni EternalBlue non sono finite
“Oltre un anno dopo i grandi attacchi WannaCry e Petya, c’è ancora una notevole quantità di computer che vengono ripetutamente infettati”, dichiara Mikel Echevarria-Lizarraga, senior virus analyst di Avira Protection Lab. “La nostra ricerca ha collegato questa situazione alla presenza di macchine Windows non aggiornate contro l’exploit Eternal Blue dell’NSA, che rappresentano quindi un bersaglio aperto per il malware.”
EternalBlue è un exploit originariamente sviluppato dall’agenzia americana NSA e di cui si è poi impossessato il gruppo di hacker Shadow Brokers. Il malware sfrutta una vulnerabilità nel protocollo Server Message Block (SMB) di Microsoft e, grazie a questa capacità, può eseguire un codice sul computer di destinazione senza alcuna autorizzazione. Gli hacker hanno sfruttato questa opportunità, utilizzando EternalBlue come arma per gli attacchi ransomware WannaCry e Petya del 2017.
A rischio gli utenti con versioni pirata di Windows
“Stavamo effettuando ricerche per individuare le ragioni alla base delle ripetute infezioni che hanno colpito parecchi computer”, ha spiegato Mikel. “Abbiamo scoperto che molte di queste macchine avevano in esecuzione un crack di attivazione, il che vuol dire che non possono o non vogliono aggiornare Windows e installare gli aggiornamenti. Ciò significa anche che non hanno ricevuto da Microsoft la patch di emergenza di marzo 2018 per questa vulnerabilità.” La soluzione di Avira, che è anche una soluzione suggerita in modo autonomo da Microsoft, consiste nella disattivazione completa del protocollo SMB1. “Abbiamo deciso di disattivarlo sulle macchine colpite da questo ciclo infinito di infezioni e sulle quali le relative patch di Windows non erano state installate”, ha aggiunto Mikel.
Da quando è stata messa in atto questa soluzione, Avira ha scoperto circa 300.000 computer con questo problema, e Avira Protection Lab sta disattivando il protocollo vulnerabile su circa 14.000 computer al giorno. “La strategia sta funzionando”, ha sottolineato Mikel: “una volta che il protocollo SMB1 è disattivato, quella macchina non verrà più colpita ripetutamente da questo problema”.
Principali paesi infetti per lo più al di fuori del Nord America e dell’Europa
Avira ha compilato l’elenco dei primi dieci paesi che presentano macchine colpite da infezioni in serie:
- Indonesia
- Taiwan
- Vietnam
- Thailandia
- Egitto
- Russia
- Cina
- Filippine
- India
- Turchia
La prevalenza di computer infetti al di fuori del Nord America e dell’Europa è più o meno in linea con gli studi di Statista sull’uso di software senza licenza. Le ricerche hanno rilevato che i tassi di software senza licenza sono in media compresi tra il 52 e il 60% al di fuori degli Stati Uniti e dell’Unione europea, dove invece scendono rispettivamente al 16% e al 28%. I software senza licenza di solito non sono in grado di ottenere le ultime patch contro le vulnerabilità come EternalBlue.