Zoals verwacht zijn er inmiddels meer geavanceerdere klonen van WannaCry in omloop. Een nieuwe SMB-worm gebruikt maar liefst zeven tools en exploits die van de inlichtingendienst NSA afkomstig zijn.
De worm heeft de naam EternalRocks gekregen. Voorheen werd deze MicroBotMassiveNet genoemd. De malware kan binnendringen via het SMB-lek in Windows: dezelfde kwetsbaarheid die de WannaCry-ransomware gebruikt om systemen te infecteren. Security-onderzoeker Miroslav Stampar heeft dit ontdekt.
EternalBlue-exploit en SMB-exploits
Behalve van de EternalBlue-exploit van de NSA maakt EternalRocks gebruik van de SMB-exploits EternalChampion, EternalRomance en EternalSynergy. Microsoft heeft aangegeven dat het in maart al updates heeft uitgebracht voor deze exploits.
Geen killswitch!
Miroslav Stampar heeft tevens ontdekt dat de DoubePulsar-backdoor van de NSA wordt gebruikt en de twee progamma’s: SMBTouch en Architouch. Vorige maand heeft hackersgroep ShadowBrokers deze NSA-tools en -exploits gepubliceerd. Securitybedrijf Heimdal Security, die de worm BlueDoom noemt, wijst erop dat deze malware niet voorzien is van een killswitch. WannaCry was hier wel mee uitgerust waardoor de recente wereldwijde aanval gestopt kon worden.