Na naszych oczach atakowane są dziesiątki tysięcy komputerów przy użyciu narzędzi NSA. Liczba zarażonych rośnie w zastraszającym tempie.
Kilka słów przypomnienia
Niedawno opisywałem wam wyciek narzędzi używanych przez NSA. Szybko okazało się, że Microsoft wydał poprawkę już w marcu i teoretycznie problemu już nie ma. Nic bardziej mylnego. Nie każdy zainstalował poprawkę, niektórzy nie mogli tego zrobić ze względu na brak wsparcia. Wykorzystali to hakerzy, którzy mają teraz prawdziwe żniwa. Za pomocą exploitu ETERNALBLUE masowo instalują tylną furtkę DOUBLEPULSAR.
Skanowanie trwa…
Próby określenia skali ataku podjęli się eksperci z firmy zajmującej się bezpieczeństwem IT – Below0Day. Przeskanowali internet w poszukiwaniu komputerów z otwartym portem 445. W ten sposób znaleźli aż 5,5 mln urządzeń. Następnie znalezione adresy przeskanowali jeszcze raz, ale tym razem narzędziem do identyfikacji backdoora DOUBLEPULSAR. W ten sposób odnaleźli 30 tysięcy komputerów. Dla wizualizacji problemu udostępnili wykres z podziałem na państwa:
Jak widać w Polsce odnaleziono 185 zarażonych. Dostępna jest również mapa:
To nie jedyne testy
Przeprowadzony w czwartek test za pomocą wyszukiwarki shodan.io wskazał 15 tysięcy zainfekowanych komputerów, następnego dnia było ich o 10 tysięcy więcej. Według innych testów zarażonych urządzeń może być już 41 tysięcy. Za pomocą takich komputerów można zrobić dosłownie wszystko – uruchomią one dowolny kod dostarczony przez hakera. Domowy komputer może okazać się nie tylko źródłem informacji o użytkowniku, ale także klientem botnetu. W najgorszym przypadku możemy spodziewać się nawet wizyty policji.
Co robić?
Jak najszybciej aktualizujcie komputery. Jeśli do infekcji już dojdzie aktualizacja może nie pomóc. Pod żadnym pozorem nie wolno korzystać z niewspieranych systemów. Nikomu nie nakazuję używania Windows 10, wspierany jest również np. Windows 7. Jako że poprawki zostały wydane w marcu, wolna od tych exploitów jest również zaktualizowana Vista. Bardziej zaawansowanych mogę odesłać do skryptu w serwisie github identyfikującego obecność backdoora DOUBLEPULSAR.
Źródła: BleepingComputer, @Belowzeroday