EternalRocks: Neue Attacke nach WannaCry

Mehrere Sicherheitsexperten haben einen neuen “SMB worm” entdeckt, der gleich 7 der von den ShadowBrokers veröffentlichten NSA-Hacks ausnutzt. (WannaCry hat lediglich 2 verwendet) Damit ist dieser neue Wurm in diesem Bereich zwar weitaus gefährlicher – auf der anderen Seite enthält er (zumindest bisher) anscheinend keinen Crypto-Locker.

Keinen Kill-Switch

Nach einer Analyse kontaktiert der Wurm nach einer Infektion einen C&C-Server im Tor-Netzwerk. Erst nach 24 Stunden erhält er eine Antwort. Anschließend lädt er ein Archiv herunter und installiert dieses auf dem lokalen PC. Mit dieser neuen Software werden zufällige IPs kontaktiert, auf die dann eine weitere Installation versucht wird.

Keine Entwarnung

Auch die Tatsache, daß EternalRocks bisher keine Schadsoftware zu enthalten scheint bedeutet nicht, daß es sich um einen ungefährlichen Wurm handelt. Immerhin besteht eine Verbindung zu einem C&C-Server, von der jederzeit Schadsoftware verteilt werden kann.

Es besteht aber auch die Möglichkeit, daß es sich mit EternalRocks lediglich um einen Testlauf für eine neue Ransomware handelt. Die Angreifer könnten in einem Probelauf etwaige Probleme ermitteln um anschließend eine “echte Schadsoftware” zu verbreiten.