Újabb kártevőt azonosítottak a szakértők, ami a WannaCry-nál is pusztítóbb lehet. Az „EternalRocks”nevű trójai féreggel eddigi vizsgálataik szerint a harcot is nehezebb felvenni. A kártevőre először Miroslav Stampar, a horvát CERT kiberbiztonsági szakértője figyelt fel, szerinte már május 3. óta keringhet a neten a kód.
– azaz a Microsoft Windows Server Message Block fájlmegosztó technológiában rejlő hibát.
A helyzetet nehezíti, hogy hét olyan exploitot (egy biztonsági rés kihasználására alkalmas program) is felhasznál, ami az amerikai Nemzetbiztonsági Ügynökségtől (NSA) szivárgott ki, míg a WannaCry csak két NSA-eszközt alkalmazott.
Hálózati féregként működik, azaz ha behatol egy rendszerbe, akkor elég egyetlen gép is ahhoz, hogy átterjedjen a hálózatra kapcsolt többi gépre is.
FFS. Somebody is spreading THIS with delayed download/start. People, this is going to be huge. Prepare yourself in a day or two! pic.twitter.com/WqJE9QKRSV
— Miroslav Stampar (@stamparm) May 18, 2017
Az EternalRocks az NSA hét megoldását is használja, köztük az EternalChampion, EternalRomance, vagy DoublePulsar névre hallgatókat. Jelenlegi formájában nincsen fertőző eleme, azaz nem zárol fájlokat, nem toboroz gépeket botnetbe, de sebezhetővé teszi a gépeket a távoli hozzáférések számára, amelyeken keresztül bármikor bevethető egy fertőzés.
– írta a Fortune.
Komoly veszélyt jelent, hiszen olyan sérülékenységet hoz létre, melyen keresztül bárki bevethet egy banki trójait vagy zsarolóvírust, ráadásul a felhasználó észre sem veszi, hogy a féreg a gépén van: nem kap üzenetet a felhasználó, csendben rejtőzködik.
Nincs gyenge pontja
Az EternalRocks azért szívósabb a WannaCry-nál, mert az eddigi vizsgálatok alapján nincsen gyenge pontja (vagy egyelőre nem tudnak róla). A WannaCry-ba ezzel ellenben építettek egy belső kapcsolót (kill switch) azon célból, hogy le lehessen állítani.
A férget nehezebb felfedezni is, mert két lépésben települ az áldozat gépére.
- Az első szakaszban az EternalRocks letölt egy Tor-klienst, és csatlakozik a Tor-hálózaton elbújtatott c&c (command and control) szerverhez, ahonnan a parancsokat kapja.
- A szerver csak később – az eddigi vizsgálatok szerint 24 óra után – küld neki választ, így a gyanús aktivitást nehezebb felfedezni.
Sosem láttunk még hasonlót
A WannaCry (másnéven WannaCrypt) eddig több mint 300 ezer áldozatot szedett 150 országból. A fájlokat titkosító kártevő nemcsak magánszemélyek gépeire jutott el, de káoszt idézett elő a brit kórházakban, és távközlési cégeket, kormányzati szerveket, cégeket bénított meg.
A ransomware a Windows operációs rendszer egyik sérülékenységét használja ki, amiről az amerikai nemzetbiztonsági ügynökség (NSA) már régóta tudott.
A 22 éves Marcus Hutchinsnak sikerült lelassítania a zsarolóvírus terjedését, aki teljesen véletlenül jött rá arra a módszerre, amivel ugyan megállítani nem tudta, de jelentősen lelassította a támadási hullámot. Felfedezett egy beépített kapcsolót (kill switch), melyet a készítő azért hoz létre, hogy ha szükséges, megállítsa a kártevő terjedését.
Pár napja arra figyelmeztetett: a kiberbűnözők már azon dolgoznak, hogy ismét teljes erejével pusztíthasson a kártevő.
Az NSA eszközeit ellopó Shadow Brokers hackercsoport pedig múlt héten közölte: még több kiberfegyvert fognak árusítani az internetes feketepiacokon, méghozzá előfizetéses rendszerben, havi rendszerességgel. A következő időszakban a mobileszközök, és a Windows 10-es felhasználók kerülhetnek veszélybe, valamint a banki rendszerek, és a rakétaprogramok.