Eeuwig Blauw

Het EternalBlue-exploitatieapparaat is niet nieuw sinds het in april 2017 werd uitgelekt door een groep genaamd 'The Shadows Brokers'. Het EternalBlue-exploitatieapparaat maakt gebruik van kwetsbaarheden bij de implementatie van het SMB-protocol van Windows en kan werken op oude versies die werden gebruikt vóór de release van Windows 8, omdat ze een interprocescommunicatie-share (IPC$) hebben die een nulsessie mogelijk maakt. Door de null-sessie te gebruiken, kunnen de criminelen een verbinding maken met behulp van een anonieme login die standaard de nul-sessie inschakelt, waardoor de server meerdere opdrachten van de client kan ontvangen.

Het EternalBlue-exploitatieapparaat maakt gebruik van drie bugs, de 'Non-paged Pool Allocation Bug', de 'Wrong Casting Bug' en de 'Wrong Parsing Function Bug'. De Non-paged Pool Allocation Bug installeert verschillende bedreigende componenten op de geïnfecteerde machines en zal degenen met zwakke wachtwoorden aanvallen. Het EternalBlue-exploitatieapparaat voegt ook een Monero-cryptomijnwerker toe, XMRig die zijn hoofddoel zal bereiken; crypt-mijnbouw. Het EternalBlue-exploitatieapparaat kan ook worden gebruikt om veel meer taken uit te voeren op de apparaten die het infecteert. Computergebruikers die hierdoor worden getroffen, moeten een anti-malwareproduct gebruiken om het EternalBlue-uitbuitingsapparaat onmiddellijk van hun machines te detecteren en te verwijderen.