EternalBlue è uno degli exploit più pericolosi e di lunga data nella storia della cyber sicurezza. Protagonista di tantissimi attacchi informatici, è considerato responsabile di danni economici per decine di milioni di euro, dopo aver compromesso i dati di tantissimi utenti in tutto il mondo. Se vuoi sapere cos’è EternalBlue, come funziona e cosa si può fare per proteggersi dai rischi che pone ancora oggi, sei nel posto giusto. Cos’è EternalBlue? EternalBlue è un exploit sviluppato dalla National Security Agency (NSA) degli Stati Uniti, nel corso di un’operazione segreta nata per raccogliere informazioni tramite le vulnerabilità dei sistemi operativi Windows. Noto ufficialmente come MS17-010, l’exploit sfrutta una falla nel protocollo SMBv1 (Server Message Block versione 1), utilizzato per la condivisione dei file e delle risorse sulla rete. Questo protocollo di rete, presente in tutte le versioni del sistema operativo precedenti a Windows 10, aveva al suo interno dei bug che permettevano agli hacker di inviare pacchetti contenenti dati dannosi. Una volta penetrati all’interno della rete, questi pacchetti potevano infettare rapidamente tutti i dispositivi collegati, consentendo ai criminali di installare malware e lanciare attacchi devastanti su larga scala. Per chi fosse a digiuno di termini tecnici, vale la pena dare qualche definizione in più. Cos’è un exploit? In estrema sintesi, è un software o un codice utilizzato per sfruttare una vulnerabilità di sicurezza in un sistema informatico. Invece, con NSA (National Security Agency) si fa riferimento all’agenzia di intelligence degli Stati Uniti che ha lo scopo di sorvegliare, raccogliere informazioni e garantire la sicurezza delle comunicazioni di tutti gli organismi statali americani. Visto il suo scopo, questa agenzia governativa è spesso impegnata nello sviluppo di strumenti di ultima generazione per la cyber intelligence. Come funziona EternalBlue?EternalBlue prevede l’invio di pacchetti SMBv1 appositamente predisposti, che sfruttano una vulnerabilità nel protocollo di Windows per eseguire codice arbitrario sui dispositivi messi nel mirino. In questo modo, gli hacker possono assumere il controllo del sistema, installare malware o lanciare altre offensive, ad esempio basate su ransomware (un tipo di malware che blocca l’accesso ai dati di un dispositivo, chiedendo un riscatto per sbloccarli) o attacchi backdoor (accesso segreto a un sistema informatico, utilizzato dagli hacker per bypassare le normali misure di sicurezza). Una volta che il sistema è compromesso, l’exploit può diffondersi automaticamente ad altri dispositivi vulnerabili presenti nella stessa rete, in modo simile a un worm (ovvero un malware che si riproduce e si diffonde automaticamente tra i dispositivi senza che sia necessario un intervento esterno). Questo meccanismo è stato utilizzato in alcuni degli attacchi informatici più importanti della storia, come WannaCry, NotPetya e Indexsinas. Com’è stato sviluppato EternalBlue? EternalBlue è stato sviluppato dall’NSA in un periodo in cui l’agenzia cercava vulnerabilità nei sistemi operativi più noti e diffusi, in primis quelli di Microsoft. Scoperta la falla nel protocollo SMBv1 (un sistema di condivisione dei file tra computer in rete molto comune fino a pochi anni fa), la NSA ha deciso di non informare Microsoft, ma di utilizzare l’exploit per svolgere operazioni di intelligence e antiterrorismo. Dal momento della sua scoperta, l’agenzia ha continuato a sfruttare EternalBlue per altri 5 anni, al fine di raccogliere informazioni sensibili. Nel 2017, però, un gruppo di hacker noto come Shadow Brokers (organizzazione che si ipotizza possa essere legata alla Russia) ha rubato l’exploit dai server della NSA e lo ha diffuso al pubblico, mettendo a rischio milioni di dispositivi in tutto il mondo e portando a una serie di attacchi informatici devastanti. Quali errori hanno permesso la diffusione di EternalBlue? Mancata segnalazione della vulnerabilità: l’NSA ha deciso volontariamente di non informare per anni Microsoft della falla SMBv1. Tempistica della patch: Microsoft ha rilasciato la patch MS17-010 solo dopo la fuga di notizie, quando ormai era troppo tardi. Mancanza di aggiornamenti: moltissimi utenti e aziende non hanno installato la patch in tempo, lasciando i propri sistemi a rischio. Attacchi informatici che hanno sfruttato EternalBlue Ora diamo uno sguardo più da vicino alle principali offensive cibernetiche che hanno visto la luce proprio a seguito della diffusione di questo exploit. WannaCryIl 12 maggio 2017, l’attacco ransomware WannaCry iniziò a diffondersi a una velocità allarmante, facendo proprio leva sulla vulnerabilità EternalBlue. In meno di 24 ore, riuscì a infettare ben 230.000 dispositivi in 150 Paesi, colpendo organizzazioni di rilevanza internazionale come FedEx e Deutsche Bahn, oltre ai sistemi informatici dell’NHS, il Servizio Sanitario Nazionale del Regno Unito. Una volta penetrato nel sistema target, WannaCry metteva le mani sui file all’interno dei dispositivi infetti, li rendeva illeggibili (tramite una complessa chiave crittografica) e chiedeva un riscatto in Bitcoin alle vittime. NotPetyaA distanza di poche settimane dall’attacco WannaCry, è arrivato anche quello del ransomware NotPetya, che ha colpito diverse realtà pubbliche e private su scala globale. Anche in questo caso, EternalBlue è stato utilizzato per diffondere il malware attraverso i dispositivi Windows. Tuttavia, a differenza di WannaCry, NotPetya non permetteva alle vittime di recuperare i propri file nemmeno a seguito del pagamento del riscatto. Gli effetti di NotPetya sono stati devastanti, come dimostrano i danni economici di svariate decine di milioni di dollari subiti da colossi come Merck, FedEx e Maersk. IndexsinasPiù di recente, il worm Indexsinas ha continuato a sfruttare EternalBlue per compromettere i server Windows che non erano stati aggiornati neanche dopo i casi eclatanti appena illustrati. Questo worm, attivo dal 2019, permette agli hacker di prendere il controllo dei dispositivi infetti, utilizzandoli per scopi illeciti come il mining di criptovalute o il furto di dati. Indexsinas è solo l’ultimo esempio di come EternalBlue continui a rappresentare una minaccia seria per chi non ha ancora aggiornato i propri sistemi. {SHORTCODES.blogRelatedArticles} EternalBlue è ancora una minaccia? Nonostante già nel 2017 Microsoft abbia rilasciato e reso disponibile al pubblico la patch MS17-010, EternalBlue continua a presentare rischi verso tutti i sistemi non ancora aggiornati. Secondo alcune stime pubblicate da importanti aziende specializzate nello sviluppo di antivirus e soluzioni contro i malware, ogni mese vengono bloccati milioni di tentativi di exploit con EternalBlue, segno che molti dispositivi sono ancora vulnerabili. Devo ancora avere paura di EternalBlue?Se stai utilizzando la versione più recente di Windows e hai installato regolarmente tutti gli aggiornamenti dal 2017 a oggi, EternalBlue non rappresenta una minaccia per te e i tuoi dispositivi. Questo, però, non ti mette al riparo da altri attacchi informatici. Rimuovere un ransomware o un malware, basati ad esempio sui già citati WannaCry e NotPetya, potrebbe non bastare. Se vuoi proteggerti dalle minacce informatiche devi seguire le best practice in fatto di cyber igiene e utilizzare strumenti di sicurezza avanzati, come ad esempio Threat Protection Pro, che offre una protezione extra contro malware, pubblicità invasive e dannose, oltre a tutti i principali tipi di tracciamento e monitoraggio online. Come proteggersi dagli attacchi causati da EternalBlue Oltre alle indicazioni appena anticipate, per proteggerti dagli attacchi con EternalBlue puoi seguire questi consigli:Aggiorna il software: installa sempre gli aggiornamenti non appena sono disponibili per il tuo sistema operativo e per tutte le applicazioni e i programmi al suo interno. In questo modo, avrai a tua disposizione tutte le patch di sicurezza più recenti, fra cui anche la MS17-010. Disattiva SMBv1: questo protocollo obsoleto contiene al suo interno la vulnerabilità sfruttata da EternalBlue. Puoi disattivarlo tramite PowerShell (lo strumento di gestione e automazione di Windows che permette di eseguire comandi e script per configurare sistemi informatici), così da evitare futuri attacchi. Utilizza un software anti-malware: non dovrebbe mai mancare un antivirus affidabile, per rilevare i malware e bloccare i tentativi di attacco EternalBlue o di altro tipo. Massima cautela con i link sospetti: molti attacchi informatici scaturiscono da e-mail di phishing. Non cliccare mai su link o allegati sospetti senza aver verificato che siano affidabili al 100%. Implementa un sistema di protezione avanzato: se vuoi proteggere al massimo i tuoi dati o devi gestire una rete aziendale, può valere la pena installare software più avanzati di tipo EDR (Endpoint Detection and Response) per monitorare e rispondere in tempo reale a comportamenti sospetti.Adottando queste misure, non ti proteggerai solo da EternalBlue, ma anche da tutte le altre principali minacce. Considerazioni finali EternalBlue è uno dei capitoli più bui nel grande “libro” della sicurezza informatica. Anche se la patch ufficiale di Microsoft per risolvere la vulnerabilità è ormai disponibile da diversi anni, l’exploit continua a causare danni in tutti quei casi in cui non siano stati installati gli aggiornamenti. Con le informazioni raccolte in questo articolo speriamo di averti aiutato a comprendere meglio questo caso, fornendoti anche soluzioni utili per proteggere la tua cybersecurity.
