EternalBlue

Il dispositivo di sfruttamento EternalBlue non è nuovo poiché è stato trapelato nell'aprile 2017 da un gruppo chiamato "The Shadows Brokers". Il dispositivo di sfruttamento EternalBlue utilizza vulnerabilità nell'implementazione del protocollo SMB di Windows e può funzionare su vecchie versioni utilizzate prima del rilascio di Windows 8 poiché hanno una condivisione di comunicazione interprocesso (IPC$) che consente una sessione nulla. Utilizzando la sessione nulla, i criminali possono creare una connessione utilizzando un login anonimo che abilita la sessione nulla per impostazione predefinita, consentendo al server di ricevere più comandi dal client.

Il dispositivo di sfruttamento EternalBlue sfrutta tre bug, il "bug di allocazione del pool non di paging", il "bug di casting errato" e il "bug di funzione di analisi errata". Il bug di allocazione del pool non di paging installa vari componenti minacciosi sulle macchine infette e attaccherà quelle con password fragili. Il dispositivo di sfruttamento EternalBlue aggiunge anche un crypto miner Monero, XMRig che raggiungerà il suo obiettivo principale; cripta-estrazione. Il dispositivo di sfruttamento EternalBlue può anche essere utilizzato per eseguire molte più attività sui dispositivi che infetta. Gli utenti di computer interessati dovrebbero utilizzare un prodotto anti-malware per rilevare e rimuovere immediatamente il dispositivo di sfruttamento EternalBlue dalle loro macchine.