EternalBlue exploit is populairder dan een jaar geleden
Vorig jaar zagen we een van de grootste cyberaanvallen in de geschiedenis van internet. Bekend als WannaCry (of WannaCryptor),[1] ransomware trof ongeveer 150 landen met behulp van de EternalBlue-exploitkit, waardoor misbruik van kwetsbaarheid in Windows OS mogelijk werd en externe toegang tot de machine kon worden verkregen. Niettemin is het bestandsversleutelende virus momenteel niet erg actief; onderzoekers melden dat het gebruik van de EternalBlue hoger is dan vorig jaar.
De recente onderzoeksrapporten[2] die populariteit van de exploitkit neemt al een paar maanden toe en bereikte zijn hoogtepunt medio april 2018. De situatie is vrij eenvoudig te verklaren. Veel computergebruikers en bedrijven hebben geen beschikbare beveiligingspatches geïnstalleerd en cybercriminelen zijn op de hoogte van de situatie.
EternalBlue-exploit werd niet alleen gebruikt bij de distributie van ransomware, maar ook voor het leveren van cryptojacking-malware
[3] te. Bovendien werden Russische hackers gespot die het gebruikten voor het aanvallen van wifi-netwerken in verschillende hotels in Europa.[4] Het lijdt geen twijfel dat sommige boosaardige mensen op dit moment het web blijven scannen op kwetsbare machines; terwijl u dit artikel leest.EternalBlue richt zich op kwetsbaarheid in Windows SMB-protocol
De hackergroep Shadow Brokers heeft medio april 2017 EternalBlue gestolen van de United States Security Agency (NSA).[5] De NSA heeft echter niet bevestigd dat ze deze of verschillende andere gelekte exploitkits hebben gemaakt.
Sinds de exploitkit echter beschikbaar kwam op het dark web, zijn cybercriminelen er een paar keer in geslaagd om deze te gebruiken. Sinds vorig jaar wordt het gebruikt voor wereldwijde ransomware-aanvallen, waaronder WannaCry, Petya/NotPetya en BadRabbit.
EternalBlue richt zich op een kwetsbaarheid in de implementatie van het Server Message Block (SMB)-protocol door Microsoft via poort 445. Een dergelijke cyberaanval stelt aanvallers in staat om op afstand willekeurige code uit te voeren op de beoogde computer.
Simpel gezegd, wanneer hackers toegang krijgen tot de computer, kunnen ze op afstand toegang krijgen tot elk apparaat of netwerk dat op de doelmachine is aangesloten. Daarom kunnen ze malware installeren, printers hacken of zich via netwerken blijven verspreiden. Ongetwijfeld is deze aanval vooral gevaarlijk en schadelijk voor bedrijven en organisaties. Binnen een paar uur kan het hele werk van het bedrijf worden stopgezet en kunnen belangrijke gegevens verloren gaan door de cyberaanval.
Windows-computer beschermen tegen de aanval
Microsoft heeft op 14 mei 2017 een beveiligingsbulletin MS17-010 uitgebracht om gebruikers te helpen hun computer te beschermen tegen mogelijke cyberaanvallen. Het bedrijf leverde beveiligingsupdates voor alle kwetsbare versies van Windows, inclusief Windows XP, dat sinds april 2014 niet meer wordt ondersteund.
Niet iedereen haastte zich echter met het installeren van belangrijke updates. Talloze gebruikers van thuiscomputers en bedrijven gebruiken nog steeds onbeschermde versies van Windows. Beveiligingsspecialisten raden aan om ze zo snel mogelijk te downloaden - ze zijn gratis beschikbaar.
Om de computer volledig te beschermen, wordt bovendien aanbevolen om alle programma's bij te werken en verouderde software die niet wordt gebruikt te verwijderen. Installatie van een beveiligingsprogramma wordt ook aanbevolen om de machine virusvrij te houden.