Proteja seu Android contra ameaças
com o Avast Mobile Security
- Segurança
- Privacidade
- Desempenho
Conhecido como o exploit mais duradouro e prejudicial de todos os tempos, o EternalBlue é o pesadelo de ataque cibernético que nunca acaba. Saiba o que é o EternalBlue, como a ferramenta de hacking vazou e por que a Agência de Segurança Nacional dos Estados Unidos a desenvolveu. Além disso, saiba como se proteger contra ataques de malware semelhantes a worm relacionados ao exploit EternalBlue.
O EternalBlue é o nome de uma série de vulnerabilidades de software da Microsoft e do exploit criado pela NSA como ferramenta de ataque cibernético. Embora o exploit EternalBlue, oficialmente denominado MS17-010 pela Microsoft, afete apenas os sistemas operacionais Windows, tudo que usa o protocolo de compartilhamento de arquivos SMBv1 (Server Message Block versão 1) corre, tecnicamente, o risco de ser alvo de ransomware e outros ataques cibernéticos.
Este artigo contém:
Você pode estar imaginando quem criou o EternalBlue? A origem da vulnerabilidade de SMB se parece com uma verdadeira história de espionagem com o vazamento de ferramentas perigosas de hacking da NSA, um grupo notório chamado Shadow Brokers em busca de vulnerabilidades e exposições comuns e um sistema operacional amplamente popular usado por pessoas, governos e corporações em todo o mundo
De acordo com as declarações de condenação feitas pela Microsoft, o EternalBlue foi desenvolvido pela Agência de Segurança Nacional dos Estados Unidos como parte de um programa controverso que usa vulnerabilidades de segurança como arma, em vez de informá-las ao fornecedor
Antes de vazar, o EternalBlue era um dos exploits mais úteis do arsenal cibernético da NSA… usado em incontáveis missões de coleta de informações e contraterrorismo.
— New York Times
A NSA supostamente passou quase um ano procurando um bug no software da Microsoft. Depois de encontrar, a NSA desenvolveu o EternalBlue para explorar a vulnerabilidade. A NSA usou o EternalBlue por cinco anos antes de alertar a Microsoft sobre sua existência.
Desde então, a Microsoft apelou à NSA e a outros órgãos governamentais para apoiar a Convenção Digital de Genebra, que pede o fim do uso de vulnerabilidades de software por países.
Aqui, a história fica interessante: a NSA é hackeada e involuntariamente libera a eterna ameaça do EternalBlue para o mundo. Pouco se sabe oficialmente sobre essa invasão da NSA, mas aqui está o que sabemos sobre como o EternalBlue vazou.
O Shadow Brokers, um grupo de hackers agora famoso, obteve acesso ao EternalBlue e vazou a ferramenta de hacking da NSA em 14 de abril de 2017 por um link na conta do Twitter. Essa não foi o primeiro ataque dos hackers do Shadow Brokers, mas a quinta vez que eles vazaram exploits e vulnerabilidades sensíveis online. Esse lançamento específico, intitulado “Lost in Translation”, incluiu o exploit EternalBlue visando sistemas operacionais Windows.
A NSA descobriu uma vulnerabilidade de segurança do Windows e criou o exploit EternalBlue, que foi roubado e vazado pelo grupo de hackers Shadow Brokers.
Em 14 de março de 2017, exatamente um mês antes do vazamento do Shadow Brokers, a Microsoft lançou o Boletim de Segurança MS17-010. A linha do tempo sugere que a Microsoft foi informada sobre a violação da NSA e se apressou em fazer todo o possível para proteger os milhões de sistemas Windows vulneráveis.
O patch MS17-010 foi projetado para corrigir as falhas de software SMBv1 para todos os sistemas operacionais Windows com suporte, como Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012 e Windows Server 2016. A Microsoft também desabilitou automaticamente o SMBv1 nas versões mais recentes do Windows 10 e no Windows Servers 2012 e 2016 por padrão.
Além disso, em uma ação sem precedentes para demonstrar a gravidade do exploit EternalBlue, a Microsoft lançou um segundo patch de emergência para sistemas operacionais sem suporte, depois que o vazamento foi tornado público. Essa segunda versão tem suporte para Windows XP, Windows 8, e Windows Server 2003.
O exploit EternalBlue funciona aproveitando as vulnerabilidades do SMBv1 presentes nas versões mais antigas dos sistemas operacionais da Microsoft. O SMBv1 foi desenvolvido no início de 1983 como protocolo de comunicação de rede para permitir acesso compartilhado a arquivos, impressoras e portas. Era essencialmente uma maneira de as máquinas Windows se comunicarem entre si e com outros dispositivos para serviços remotos.
O EternalBlue explora as vulnerabilidades do SMBv1 para inserir pacotes de dados malignos e espalhar malware pela rede.
O exploit aproveita como o Microsoft Windows lida, ou melhor, lida incorretamente com pacotes criados por invasores mal-intencionados. Tudo o que o invasor precisa fazer é enviar um pacote criado com códigos maliciosos ao servidor visado e pronto! O malware se propaga e ocorre um ataque cibernético.
O número de Vulnerabilidades e Exposições Comuns do EternalBlue registrado no Banco de Dados Nacional de Vulnerabilidades é CVE-2017-0144.
O patch da Microsoft corrige a vulnerabilidade de segurança completamente, evitando assim tentativas de implantação deransomware, malware, cryptojacking ou qualquer outra tentativa de infiltração digital semelhante a worm que usa o exploit EternalBlue. Mas um problema importante permanece: para muitas versões do Windows, a atualização do software precisa ser instalada para fornecer proteção
Por isso, o EternalBlue tem uma vida útil tão longa. Muitas pessoas e até mesmo empresas deixam de atualizar os softwares regularmente, deixando os sistemas operacionais sem correções e, portanto, vulneráveis ao EternalBlue e outros ataques. Até hoje, o número de sistemas Windows vulneráveis e sem correções está na casa dos milhões.
O EternalBlue é famoso por espalhar o ransomware WannaCry e Petya. Mas o exploit pode ser usado para implantar qualquer tipo de ataque cibernético, inclusive criptojacking e malware semelhante a worm. O hack da NSA abriu a porta para qualquer invasor enviar um pacote malicioso a um servidor vulnerável sem o patch de correção do CVE-2017-0144.
O nome já diz tudo. WannaCry é o nome de um ataque mundial de ransomware possibilitado pelo exploit EternalBlue. Veja, até mesmo os hackers têm um lado comediante
O ciberataque WannaCry começou em 12 de maio de 2017 e logo teve um impacto global. O ransomware se espalhou a uma taxa de 10.000 dispositivos por hora, infectando mais de 230.000 PCs com Windows em 150 países em um único dia
Embora, aparentemente, não tenha havido alvos específicos, alguns nome famosos e grandes entidades foram atingidos, incluindo FedEx, a Universidade de Montreal, LATAM Airlines, Deutsche Bahn e, notavelmente, o Serviço Nacional de Saúde (NHS) do Reino Unido. O NHS relatou que milhares de consultas e operações foram canceladas e que os pacientes tiveram que se deslocar mais para os departamentos de acidentes e emergências devido à quebra de segurança.
Petya é outro ataque de ransomware que usou o exploit EternalBlue para causar o caos
O Petya foi lançado tecnicamente no início de 2016, antes do WannaCry, mas com pouco efeito e alarde. A primeira versão do Petya era espalhada por um anexo de e-mail malicioso e era uma forma bastante simples de ransomware. O computador é infectado e os arquivos são criptografados (ou mantidos como reféns) até que você pague $ 300 em Bitcoin para comprar uma chave de descriptografia
Por falar nisso, recomendamos nunca (nunca mesmo) pagar o resgate.
O ransomware Petya criptografa arquivos e exige um resgate em Bitcoin para liberá-los.
Graças ao EternalBlue e o infeliz sucesso do WannaCry, o ransomware Petya ganhou uma segunda chance de destruição. Em junho de 2017, NotPetya foi implantado usando o exploit EternalBlue e, dessa vez, as pessoas notaram
A principal diferença entre a primeira e a segunda versão do Petya era que o NotPetya (Petya V2) tinha como objetivo desativar completamente o sistema. Mesmo com o pagamento do resgate, não havia cura. O ataque cibernético criptografava permanentemente a tabela de arquivos mestre (MFT) e o registro de inicialização mestre (MBR) do computador.
Então, de quanto foi a conta do EternalBlue e quem está pagando por ela? A resposta começa com um “B” de bilhões e quem está pagando a conta são pessoas como você, diretamente ou por meio de taxas, às corporações multinacionais.
Estima-se que o NotPetya superou $ 10 bilhões de prejuízo e que o WannaCry está próximo de $ 4 bilhões
Algmas empresas conhecidas foram muito atingidas. A maior empresa de transporte do mundo, a Maersk, perdeu $ 300 milhões, a FedEx, $ 400 milhões e a Merck Pharmaceuticals (conhecida como MSD fora da América do Norte) perdeu $ 870 milhões após 15.000 computadores Windows terem sucumbido ao NotPetya em apenas 90 segundos.
Um prejuízo maior, não tão quantificável monetariamente, foi a perda de dados e acesso para hospitais e instituições de saúde
Quando uma rede falha em um hospital, os médicos não podem ver informações sobre cirurgias marcadas que poderiam salvar vidas. Nem registrar ou acessar alterações na medicação. Os hospitais podem até perder sinais de GPS para localizar ambulâncias, como aconteceu na Ucrânia durante o ataque cibernético NotPetya.
Esses tipos de perdas não monetárias tornam os ataques cibernéticos muito perigosos para a sociedade em geral.
A resposta curta é, sim, o EternalBlue está bem vivo. Embora o WannaCry e o NotPetya tenham causado a maior parte dos prejuízos no início de 2017, outros ataques que exploram o EternalBlue estão infelizmente ainda estão fortes. Em maio de 2019, havia centenas de milhares de tentativas de ataque EternalBlue diariamente.
De fato, em junho de 2020, a Avast ainda bloqueava cerca de 20 milhões de tentativas de ataque do EternalBlue todos os meses.
Quase um milhão de máquinas ainda usam o vulnerável protocolo SMBv1 e permanecem online. Esse fato, em si só, garante a persistência do EternalBlue. Enquanto computadores permanecerem sem correção e online, eles estarão desprotegidos
A maior ameaça, no entanto, pode estar em exploits inexplorados que também foram lançados durante o hack da NSA pelo Shadow Brokers. O EternalBlue foi apenas um de muitos.
A ameaça mais perigosa no horizonte foi apelidada de EternalRocks e está em desenvolvimento. Ao contrário do WannaCry, que usou dois exploits expostos pelo hack da NSA, o EternalRocks usa sete exploits, incluindo EternalBlue, EternalRomance, EternalSynergy, EternalChampion, ArchiTouch e SMBTouch. Possíveis ameaças incluem o shellcode que é executado logo após exploits Eternal, como o DoublePulsar.
Talvez
Mas a boa notícia é que existem ferramentas eficazes para ajudar a sua proteção. Enquanto a ameaça EternalBlue permanecer, você pode combatê-la com patches de segurança, como o MS17-010, e software antivírus gratuito.
Recomendamos que todos os usuários do Windows implantem o patch de segurança disponibilizado pela Microsoft no MS17-010. Basta atualizar seu software para a versão mais recente do Windows. Sem isso, você combaterá problemas do presente com ferramentas do passado. É necessário tornar obsoleto o protocolo SMBv1, por isso, todos os usuários do Windows precisam aplicar o patch.
Faça a sua parte: atualize seu computador com as atualizações de software mais recentes disponíveis e siga estas cinco dicas para o máximo em segurança e privacidade online.
Quer ver se o seu PC está vulnerável a um ataque cibernético EternalBlue? Nosso Verificador de Wi-Fi pode verificar isso agora mesmo.
Os ataques cibernéticos são negócios lucrativos, mas somos uma empresa de segurança. Por isso, criamos um software antivírus poderoso para bloquear ataques de ransomware prejudiciais como WannaCry e Petya. A Avast usa inteligência artificial baseada em nuvem para oferecer seis camadas de proteção contra malware e outras ameaças, incluindo aquelas que fazem uso da vulnerabilidade SMBv1. Além disso, nosso recurso Verificador de Wi-Fi verificará agora mesmo se você está vulnerável a ataques EternalBlue.
Mesmo se você tiver instalado o patch de segurança da Microsoft, o Avast Free Antivirus protegerá de ameaças futuras, seja o EternalRocks, o EternalBlue ou qualquer outra invenção desses cibercriminosos.