Exploit EternalBlue: di cosa si tratta? Rappresenta ancora una minaccia?
Anche se il nome potrebbe evocare una località termale nei Caraibi, EternalBlue è in realtà l'exploit più longevo di tutti i tempi e rappresenta una minaccia reale per sistemi e dati informatici in tutto il mondo. Scopri cos'è, come funziona e come fare per evitare di caderne vittima. Dopodiché, procurati un potente software per la sicurezza per proteggerti da EternalBlue e da altre minacce di hacking.
Scritto da
Ben Gorman
Pubblicato il giorno
September 22, 2023
Che cos'è EternalBlue?
EternalBlue è un exploit di Microsoft che è stato sviluppato dalla NSA (National Security Agency) per la raccolta di informazioni e che consente l'accesso remoto ai dati contenuti nei dispositivi Microsoft. EternalBlue è stato sottratto alla NSA nel 2017 dal gruppo di hacker Shadow Brokers e da allora è stato utilizzato per lanciare attacchi informatici devastanti in tutto il mondo, come WannaCry, Petya/NotPetya e Indexsinas.
Questo articolo contiene
:
Come funziona EternalBlue?
L'exploit EternalBlue (noto anche come MS17-010) sfrutta una vulnerabilità nel protocollo di condivisione dei file di rete SMBv1 nei computer Microsoft. Il protocollo di rete Server Message Block versione 1 consente ai computer di condividere file con stampanti, porte e altri computer Windows. Tuttavia, SMBv1 contiene dei bug che consentono agli hacker di inviare nella rete pacchetti di dati dannosi. Una volta all'interno della rete, il malware può infettare tutti i dispositivi a essa connessi, e non solo.
EternalBlue sfrutta le vulnerabilità di SMBv1.
Nonostante i vari tentativi di Microsoft di correggere la vulnerabilità e proteggere gli utenti, gli hacker hanno utilizzato questo exploit informatico per lanciare alcuni dei più grandi attacchi informatici della storia. Oggi, EternalBlue non rappresenta più una minaccia per la maggior parte dei computer Microsoft, anche se molti computer sono ancora a rischio.
Ma se EternalBlue è una minaccia che circola già da tempo, per quale motivo dovremmo preoccuparcene?
Il più famoso attacco informatico che ha coinvolto l'exploit EternalBlue è stato lanciato nel 2017. Da allora, la maggior parte dei dispositivi Microsoft è stata dotata di una patch di sicurezza che ha permesso di correggere la vulnerabilità sfruttata da EternalBlue. Ma ci sono ancora molti dispositivi che non hanno ricevuto questa importantissima patch di sicurezza.
L'aggiornamento software che risolve le vulnerabilità e le esposizioni di EternalBlue (noto come patch MS17-010) ha un punto debole: deve essere installato dall'utente. Secondo le stime dei ricercatori, esiste oltre 1 milione di server SMB accessibili a chiunque su Internet, e molti di questi server sono vulnerabili agli attacchi EternalBlue.
Indexsinas
Indexsinas è l'ultimo attacco EternalBlue lanciato a livello globale. Indexsinas è un worm informatico, ovvero un virus informatico autoreplicante che, dopo avere compromesso un computer, è in grado di replicarsi per poi infettarne un altro. Gli attacchi dei worm informatici causano una reazione a catena difficile da interrompere.
Dal 2019, Indexsinas ottiene l'accesso ai server Windows utilizzando la vulnerabilità EternalBlue. Una volta che un dispositivo è stato infettato da un worm, i criminali informatici possono utilizzarlo come vogliono. Possono eliminare file, controllare le funzioni e persino vendere l'accesso al computer ad altri malintenzionati e hacker pericolosi. Si ritiene che i computer compromessi da Indexsinas vengano utilizzati per il mining di criptovalute, che vengono poi depositate nei portafogli dei criminali informatici.
Indexsinas rappresenta una minaccia estremamente attuale, ed è probabile che gli hacker responsabili di questi attacchi non verranno catturati tanto presto. Per proteggersi da questa minaccia, privati e aziende che utilizzano dispositivi Microsoft devono eseguire aggiornamenti regolari per correggere le vulnerabilità. Utilizzando un potente software antivirus, come AVG AntiVirus, è possibile eseguire una scansione di rete per verificare se il dispositivo è vulnerabile a EternalBlue o ad altre minacce per la sicurezza.
La storia di EternalBlue: anni difficili per la sicurezza dei dati
EternalBlue è un po' come il mostro di Frankenstein. È stato creato di proposito dal governo statunitense, che in seguito ha perso il controllo su di esso. Da allora, si aggira per il mondo creando scompiglio ovunque vada e non vuole saperne di abbandonare la scena.
Non sappiamo esattamente quando sia stato identificato l'exploit EternalBlue, ma sappiamo che è stato sviluppato dalla National Security Agency (NSA) degli Stati Uniti come parte di un piano volto ad accumulare le vulnerabilità a livello di sicurezza informatica per utilizzarle come armi. Pare che la NSA abbia utilizzato EternalBlue per diversi anni per la raccolta di informazioni.
Poi, nell'aprile del 2017, la NSA è stata vittima di un attacco informatico lanciato dal gruppo di hacker Shadow Brokers, che ha trafugato EternalBlue per poi farlo trapelare su Twitter (ora X) e diffonderlo in tutto il mondo. EternalBlue è registrato nel National Vulnerability Database come CVE-2017-0144.
Circa un mese prima che l'exploit venisse diffuso, Microsoft aveva rilasciato il bollettino sulla sicurezza MS17-010, una patch per l'exploit EternalBlue. Ciò suggerisce che la NSA potrebbe avere informato Microsoft della violazione poco dopo l'attacco da parte di Shadow Brokers. Ma gli sforzi di Microsoft non sono stati sufficienti a fermare i maggiori attacchi informatici, iniziati appena un mese dopo la violazione. Milioni di persone e organizzazioni erano vulnerabili al furto di dati e a tutta una serie di minacce informatiche.
I maggiori attacchi informatici resi possibili da EternalBlue sono stati WannaCry e NotPetya, entrambi lanciati a nemmeno due mesi di distanza dalla distribuzione di EternalBlue al pubblico.
EternalBlue è stato scoperto dalla NSA e poi reso di pubblico dominio dal gruppo di hacker Shadow Brokers.
WannaCry
WannaCry è stato il primo grande attacco informatico che ha sfruttato l'exploit EternalBlue. Lanciato nel maggio del 2017, a circa un mese di distanza dalla distribuzione di EternalBlue da parte di Shadow Brokers, WannaCry era un tipo di attacco ransomware, ovvero un attacco informatico in cui i dati sottratti rimangono bloccati dietro un paywall fino al pagamento di un riscatto.
Pur non avendo un target specifico, WannaCry si è diffuso rapidamente, arrivando presto a colpire alcune delle più importanti istituzioni, tra cui FedEx, LATAM Airlines e il Servizio Sanitario Nazionale (NHS) del Regno Unito. I danni causati da WannaCry sono stati stimati nell'ordine dei miliardi di dollari.
Petya/NotPetya
Petya è il nome di un attacco informatico lanciato per la prima volta nel 2016. All'epoca non fece molti danni. Per trasformarsi in un attacco veramente devastante, aveva bisogno di EternalBlue. Circa un mese dopo la diffusione di WannaCry, è stata lanciata la seconda versione di Petya (denominata NotPetya), che utilizzava EternalBlue per sfruttare una vulnerabilità di sistema.
NotPetya era un attacco ransomware particolarmente insidioso: non esisteva un rimedio per questo virus, che criptava in modo permanente Master File Table (MFT) e Master Boot Record (MBR) del computer. La vittima non poteva riavere indietro i file nemmeno dietro pagamento di un riscatto: i sistemi colpiti da NotPetya sono stati disabilitati per sempre.
WannaCry, appena salito agli onori della cronaca come uno dei più grandi attacchi hacker della storia, si è visto soppiantare, a un solo mese di distanza, da NotPetya, di gran lunga più insidioso in termini di portata e costo dei danni causati.
L'enorme costo di EternalBlue
È difficile determinare il costo dei danni causati da EternalBlue a livello globale, soprattutto perché gli attacchi continuano ancora oggi.
Secondo le stime, WannaCry e NotPetya hanno causato danni per miliardi di dollari, e il peggiore dei due è stato NotPetya. Per quanto riguarda Indexsinas, l'attacco è ancora in corso e non è ancora possibile calcolare i danni.
Ecco alcune delle organizzazioni che hanno registrato le perdite più ingenti a causa di EternalBlue:
Merck/MSD (colosso farmaceutico): 670 milioni di dollari
FedEx (azienda TNT Express in Europa): 400 milioni di dollari
Maersk: 300 milioni di dollari
Mondelez: 180 milioni di dollari
Se si sommano tutti i numeri, è facile capire perché EternalBlue sia considerato ancora oggi una seria minaccia. Gli hacker continuano a utilizzare questo exploit per causare danni, e finché saranno in grado di farlo, non si fermeranno. Per questo è importante dotare tutti i dispositivi Microsoft del migliore software antivirus gratuito disponibile sul mercato, in modo da prevenire gli attacchi basati su EternalBlue e altre minacce pericolose.
Come prevenire gli attacchi basati su EternalBlue
EternalBlue è come una backdoor aperta sul computer, che consente agli hacker di accedere ai dati personali dell'utente o addirittura all'intera rete. Gli hacker possono facilmente introdurre qualsiasi tipo di malware, dai ransomware ai worm e ai trojan, e altro ancora.
Ecco come prevenire gli attacchi basati su EternalBlue e le eventuali violazioni:
Tieni sempre aggiornati i tuoi dispositivi
Che tu sia un privato o un'azienda, assicurati che tutti i tuoi dispositivi Microsoft siano aggiornati. L'aggiornamento dei dispositivi installerà automaticamente la patch MS17-010 per EternalBlue, chiudendo la porta lasciata aperta da EternalBlue.
Inizia a digitare Impostazioni di Windows Update nella casella di ricerca, quindi clicca su Apri.
Clicca su Riavvia ora se sono disponibili aggiornamenti o su Verifica disponibilità aggiornamenti.
Disattiva SMBv1
SMBv1 è il protocollo di protezione difettoso che causa le vulnerabilità sfruttate da EternalBlue. Se presente sul tuo PC, disattivalo: in genere, si trova nelle versioni più vecchie di Windows.
SMBv1 non è installato di default in:
Windows 11
Windows 10 (tranne le edizioni Home e Pro)
Windows Server 2019 e versioni successive
È possibile disabilitare SMBv1 tramite PowerShell:
Apri PowerShell premendo i tasti Windows + R, quindi digita powershell e clicca su OK.
Inserisci il comando Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol e premi Invio.
Scarica un software antivirus
È fondamentale installare un software antivirus affidabile su tutti i dispositivi, che offra protezione contro EternalBlue e prevenga altri attacchi da parte di hacker e malware.
Per installare il nostro software antivirus gratuito, segui la seguente procedura:
Segui le istruzioni sullo schermo per aprire e installare AVG AntiVirus.
Installa un software EDR (per le aziende)
Se gestisci un'azienda, assicurati che tutti i dispositivi connessi alla rete siano dotati di un software di rilevamento e risposta degli endpoint (EDR) efficiente. Questa tecnologia offre protezione contro gli attacchi informatici e rileva comportamenti sospetti e potenziali minacce sui dispositivi, intervenendo prima che possano causare danni.
Proteggiti dalle minacce online con AVG
Il mondo digitale è pieno di minacce, e gli attacchi alla sicurezza informatica causano continuamente danni ad aziende e privati. Tuttavia, adottando le giuste precauzioni, è possibile proteggersi dagli attacchi e dalle minacce informatiche.
AVG AntiVirus blocca i collegamenti non sicuri, previene gli attacchi da parte dei virus informatici e individua vulnerabilità quali l'exploit EternalBlue, per proteggere la tua vita digitale. Scarica subito la soluzione di protezione online leader del settore.
We use cookies and similar technologies to recognize your repeat visits and preferences, to measure the effectiveness of campaigns, and improve our websites. For settings and more information about cookies, view our Cookie Policy. By clicking “I accept” on this banner or using our site, you consent to the use of cookies.