EternalBlue bereikt nieuwe hoogtes sinds WannaCryptor-uitbraak

  • 3 minuten
  • 17 mei 2019

Het is twee jaar geleden dat EternalBlue de deuren opende naar één van de meest akelige ransomware-uitbraken in de geschiedenis – beter bekend als WannaCryptor (of WannaCry). Sinds het nu beruchte malware-incident is het aantal pogingen om de exploit te gebruiken alleen maar toegenomen. Op dit moment is een hoogtepunt in populariteit bereikt en worden gebruikers elke dag door honderdduizenden aanvallen geplaagd.

De EternalBlue-exploit zou in 2016 gestolen zijn van de National Security Agency (NSA) en is op 14 april 2017 online gelekt door een groep onder de naam Shadow Brokers. De exploit valt via port 445 een kwetsbaarheid in Microsofts implementatie van het Server Message Block-protocol (SMB) aan. Het lek was al privé gemeld en zelfs voor de WannaCryptor-uitbraak in 2017 al gepatcht door Microsoft, maar desondanks zijn er tot op de dag van vandaag nog steeds talloze kwetsbare systemen in gebruik.

Volgens data van Shodan zijn er momenteel bijna een miljoen apparaten actief die gebruikmaken van het verouderde SMB v1-protocol, waardoor de port blootgesteld wordt aan het openbare internet. De meeste van deze apparaten bevinden zich in de Verenigde Staten, gevolgd door Japan en de Russische Federatie. Nederland staat ook in de top 10, op nummer 8 met 20.459 actieve, kwetsbare apparaten.

EternalBlue

Slechte beveiligingsgewoonten en een beroerd patchbeleid zijn waarschijnlijke redenen dat het kwaadwillig gebruik van EternalBlue sinds 2017, toen het online werd gelekt, nog continu aan het groeien is.

Volgens telemetrie van ESET bereiken aanvalspogingen met EternalBlue nu historische hoogtepunten: elke dag worden honderdduizenden pogingen geblokkeerd (zie figuur 1).

Figuur 1 Trend van EternalBlue-detecties volgens ESET LiveGrid®

Figuur 1 Trend van EternalBlue-detecties volgens ESET LiveGrid®

Een soortgelijke trend is te zien in het aantal unieke ESET-klanten die dagelijks duizenden pogingen tot het gebruik van de exploit rapporteren (zie figuur 2).

EternalBlue2

Figuur 2 Trend van unieke klanten die EternalBlue-exploitpogingen melden, volgens ESET LiveGrid®

Het kan zijn dat deze EternalBlue-cijfers ook groeien omdat het, naast op kwaadaardige wijze, ook wordt gebruikt voor interne beveiligingsdoeleinden. Als één van de meest voorkomende schadelijke tools kan deze exploit door security-afdelingen binnen bedrijven gebruikt worden als middel om kwetsbaarheden in het bedrijfsnetwerk op te sporen.

EnternalBlue heeft veel prominente cyberaanvallen mogelijk gemaakt. Naast WannaCryptor, was EternalBlue ook de drijfkracht achter de destructieve Diskcoder.C-campagne (oftewel Petya, NotPetya en ExPetya) en de BadRabbit-ransomwarecampagne in 2017. Bekende cyberspionnen zoals Sednit (oftewel APT28, Fancy Bear en Sofacy) zijn er ook op betrapt dit tegen WiFi-netwerken van hotels te hebben gebruikt.

Onlangs was te zien dat EternalBlue Trojaanse paarden en cryptomining malware verspreidde in China. Dit doet denken aan waar de kwetsbaarheid oorspronkelijk voor gebruikt werd, nog voor de WannaCryptor-uitbraak. Ook werd EternalBlue recent geadverteerd door black hats als de manier om Yatron, een nieuwe Ransomware-as-a-Service, te verspreiden.

Deze exploit en alle cyberaanvallen die er tot nu toe door mogelijk zijn gemaakt, benadrukken het belang van tijdig patchen. Daarnaast laat het ook zien dat er groot belang is bij een betrouwbare, meerlaagse securityoplossing die niet alleen een kwaadaardige software stopt, maar je ook beschermt tegen het onderliggende mechanisme.