BlueDoom/EternalRocks sprids genom EternalBlue

När WannaCry-kampanjen nu verkar ha ebbat ut så har det istället kommit ökade försök till annat utnyttjande av EternalBlue-exploiten som WannaCry också använde sig av. En tidig indikation är att en av dessa nya smittor är masken BlueDoom, eller som den också kallas, EternalRocks[1].

BlueDoom är inget ransomware, utan ser istället ut att vara en möjlig ingång för framtida attacker. Den har heller ingen så kallad "kill switch" för att deaktivera sig självt, men innehåller däremot ett flertal exploits som den laddar hem via TOR-nätverket. Exploitsen, som kommer från gruppen Shadow Brokers, är: Architouch, Doublepulsar, EternalBlue, Eternalchampion, Eternalromance, Eternalsynergy och Smbtouch.

Så även om man inte blivit drabbad av WannaCry i dagsläget så är det fortfarande mycket viktigt att installera säkerhetsuppdateringar[2][3].

[1] https://heimdalsecurity.com/blog/bluedoom-worm-eternablue-nsa-exploits/
[2] https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
[3] https://support.microsoft.com/en-us/help/4013389/title