Nieuwe worm gebruikt zeven NSA-kwetsbaarheden (WannaCry slechts twee)
Onderzoekers hebben nieuwe malware ontdekt die gebruik maakt van maar liefst zeven NSA-kwetsbaarheden. Elke kwetsbaarheid werd ontdekt door de NSA en nadien gelekt door hackingroep The Shadow Brokers. Wannacry maakte gebruik van slechts twee van deze kwetsbaarheden.
De nieuwe worm werd voor het eerst ontdekt door Miroslav Stampar, een lid van de Kroatische CERT (computer emergency response team). De oudste stalen van de worm zijn al te vinden sinds 3 mei, zegt de cyberbeveiligingsexpert op Github. Stampar ontdekte Eternalrocks door middel van een Windows 7 ‘honeypot’. Een honeypot is een computersysteem dat bewust kwetsbaar gemaakt is en terwijl in de gaten gehouden wordt om nieuwe dreigingen te onderscheppen en te analyseren.
EternalRocks gebruikt ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE en ETERNALSYNERGY om nieuwe systemen te infecteren. SMBTOUCH en ARCHITOUCH worden gebruikt om op zoek te gaan naar nieuwe slachtoffers en DOUBLEPULSAR om zich te verspreiden naar andere systemen. Alle zeven waren kwetsbaarheden ontdekt door de NSA. Wannacry, de ransomware die meer dan 240 000 slachtoffers maakte, maakte enkel gebruik van ETERNALBLUE en DOUBLEPULSAR.
In tegenstelling tot Wannacry blijft deze software voorlopig onopgemerkt voor gebruikers. Eerst downloadt EternalRocks de Torbrowser om een private connectie te maken met de verborgen servers van de worm. Pas na een dag zal de infectie zich verder beginnen verspreiden. Dat dient waarschijnlijk om cyberbeveiligingsexperts op een verkeerd spoor te zetten aangezien weinigen een volledige dag wachten op een respons van de verborgen server. In een andere poging om onderzoekers op een verkeerd spoor te zetten noemt de software zichzelf ook WannaCry.
Voorlopig verspreidt de worm zich in alle stilte, zonder actie te ondernemen. Daardoor is het niet duidelijk hoeveel systemen er geïnfecteerd zijn. Stampar waarschuwt echter dat EternalRocks op elk moment geactiveerd kan worden om kwaadaardige software af te leveren op elk geïnfecteerd systeem. Hoe sneller iedereen zijn systeem update met de nieuwste patches, hoe beter dus.
Fout opgemerkt of meer nieuws? Meld het hier