19 november 2020

WannaMine gebruikt EternalBlue kwetsbaarheid

EternalBlue is een kwetsbaarheid die het voor cybercriminelen mogelijk maakt om op afstand willekeurige code uit te voeren en toegang te krijgen tot een netwerk door het verzenden van speciaal gemaakte pakketten.

Het maakt gebruik van een software kwetsbaarheid in Microsoft’s Windows besturingssystemen Server Message Block versie 1 (SMBv1) protocol, een protocol voor het delen van bestanden op het netwerk dat toegang verleent tot bestanden op een externe server. Dit laat cybercriminelen toe het hele netwerk en alle aangesloten apparaten in gevaar brengen.

Via EternalBlue loopt elk apparaat dat op het netwerk is aangesloten gevaar. Dit maakt het herstel eveneens moeilijk, omdat alle apparaten op een netwerk mogelijk offline moeten worden gehaald. Deze kwetsbaarheid was gepatcht en staat beschreven in Microsoft’s beveiligingsupdate MS17-010.

Malware die gebruik maakt van EternalBlue kan zichzelf propageren over het netwerk. Zo was WannaCry, een crypto-ransomware, één van de eerste en meest bekende malware om dit te gebruiken om zich te verspreiden. WannaCry gebruikt de EternalBlue kwetsbaarheid om zichzelf te verspreiden. EternalBlue werd populair gemaakt bij diverse andere malware zoals Trickbot, een modulaire bankworm, evenals CoinMiner en WannaMine, cryptominers die gebruik maken van EternalBlue om toegang te krijgen tot de rekenkracht van computers in een netwerk om cryptomunten te “minen”.

WannaMine is momenteel terug bezig aan een opmars waarbij verschillende bedrijven recent getarget werden. Resultaat? Geïnfecteerde computers bij medewerkers die momenteel vooral van thuis werken, verlies van data, technische werkloosheid,…

Wat kan u ondernemen om dit tegen te gaan?

Zin om hierover verder te praten? Aarzel niet ons te contacteren.

(bronnen: https://www.cisecurity.org/ms-isac/ en https://support.microsoft.com)