Các nỗ lực tấn công liên quan đến việc khai thác là hàng trăm ngàn mỗi ngày

Đã hai năm kể từ khi EternalBlue mở cửa cho một trong những vụ dịch ransomware khủng khiếp nhất trong lịch sử, được gọi là WannaCryptor (hay WannaCry) . Kể từ sự cố phần mềm độc hại khét tiếng hiện nay, các nỗ lực sử dụng khai thác chỉ ngày càng phổ biến. Hiện tại nó đang ở đỉnh cao của sự nổi tiếng, với người dùng bị bắn phá với hàng trăm ngàn cuộc tấn công mỗi ngày.

Khai thác EternalBlue bị cáo buộc đánh cắp từ Cơ quan An ninh Quốc gia (NSA) vào năm 2016 và bị rò rỉ trực tuyến vào ngày 14 tháng 4 năm 2017 bởi một nhóm được gọi là Shadow Brokers. Việc khai thác nhắm vào lỗ hổng trong việc triển khai Microsoft Giao thức khối tin nhắn máy chủ (SMB), thông qua cổng 445. Lỗ hổng đã được tiết lộ riêng tư và được vá bởi Microsoft ngay cả trước khi WannaCryptor bùng phát vào năm 2017; tuy nhiên, bất chấp mọi nỗ lực, các hệ thống dễ bị tổn thương vẫn lan rộng cho đến ngày nay.

Theo dữ liệu từ Shodan hiện có gần một triệu máy trong tự nhiên sử dụng giao thức SMB v1 đã lỗi thời, đưa cổng ra internet công cộng. Hầu hết các thiết bị này đều ở Hoa Kỳ, tiếp theo là Nhật Bản và Liên bang Nga.

Thực tiễn bảo mật kém và thiếu bản vá là những lý do có thể khiến việc sử dụng độc hại khai thác EternalBlue liên tục phát triển kể từ đầu năm 2017, khi nó bị rò rỉ trực tuyến.

Dựa trên đo từ xa ESET, các nỗ lực tấn công liên quan đến EternalBlue đang đạt đến đỉnh cao lịch sử, với hàng trăm ngàn trường hợp bị chặn mỗi ngày, như được thấy trong Hình 1.

Hình 1. Xu hướng phát hiện EternalBlue, theo ESET LiveGrid®

Một xu hướng tương tự có thể được quan sát bằng cách xem xét số lượng khách hàng ESET duy nhất báo cáo hàng ngàn lần thử sử dụng khai thác hàng ngày, như được thấy trong Hình 2.

Hình 2. Xu hướng của các khách hàng duy nhất báo cáo các nỗ lực khai thác EternalBlue, theo ESET LiveGrid®

Bên cạnh việc sử dụng độc hại, số EternalBlue cũng có thể đang tăng lên do sử dụng cho mục đích bảo mật nội bộ. Là một trong những công cụ độc hại phổ biến nhất, khai thác này có thể được sử dụng bởi các bộ phận an ninh của công ty như một phương tiện để tìm kiếm lỗ hổng trong các mạng công ty.

EternalBlue đã kích hoạt nhiều cuộc tấn công mạng có cấu hình cao. Ngoài WannaCryptor, nó cũng cung cấp chiến dịch phá hủy Diskcoder.C (còn gọi là Petya, NotPetya và ExPetya) và chiến dịch BadRmus ransomware ] Sednit (còn gọi là APT28, Fancy Bear và Sofacy) cũng bị bắt khi sử dụng nó chống lại các mạng Wi-Fi của khách sạn.

. những chiếc mũ đen như là cơ chế lan truyền cho một dịch vụ Ransomware-as-a-Service mới Yatron .

Khai thác này và tất cả các cuộc tấn công mạng mà nó kích hoạt cho đến nay nhấn mạnh tầm quan trọng của việc vá kịp thời. Hơn nữa, nó nhấn mạnh sự cần thiết phải có một giải pháp bảo mật đa lớp và đáng tin cậy, có thể làm được nhiều việc hơn là chỉ dừng tải trọng độc hại, chẳng hạn như bảo vệ chống lại cơ chế cơ bản.





nguon http://feedproxy.google.com/~r/eset/blog/~3/qz49T1fByY0/

Source link

Đưa ra một phản hồi

Vui lòng nhập bình luận của bạn!
Vui lòng nhập tên của bạn ở đây