Cybercriminelen maken op grote schaal gebruik van de NSA-exploit voor een SMB-lek in Windows, zo meldt beveiligingsonderzoeker Kevin Beaumont aan de hand van eigen onderzoek. Het gaat om de EternalBlue-exploit waar ook de WannaCry-ransomware gebruik van maakt.

De exploit werd bij de NSA gestolen en in april openbaar gemaakt. Een maand eerder was de kwetsbaarheid die de aanval mogelijk maakt al door Microsoft gepatcht. Toch zijn er nog altijd kwetsbare systemen online te vinden. Beaumont wilde dan ook het gebruik van de exploit onderzoeken en besloot verschillende honeypots neer te zetten. Systemen die opzettelijk kwetsbaar zijn gemaakt en als doel hebben om te worden aangevallen. Op deze manier kunnen onderzoekers zien hoe aanvallers precies te werk gaan en deze informatie gebruiken om andere systemen te beschermen.

Cybercriminelen maken op dit moment actief gebruik van de NSA-exploits die vorige week door de hackergroep Shadow Brokers openbaar werden gemaakt om servers van backdoors te voorzien en mogelijk ook ransomware te verspreiden. Dat laten verschillende beveiligingsonderzoekers weten.

Zo werd op verschillende servers de DoublePulsar-toolaangetroffen. De NSA zou deze tool gebruiken nadat het via een exploit toegang tot een server heeft gekregen. Daarnaast meldt beveiligingsbedrijf SenseCy dat er op dit moment een "trend" gaande is waarbij de gelekte NSA-exploits worden gebruikt voor het infecteren van Windowsservers met ransomware. De aanvallers zouden hierbij gebruik van een lek in Windows SMB-server maken dat Microsoft in maart patchte.

De Amerikaanse geheime dienst NSA heeft de broncode van Ghidra openbaar gemaakt, een gratis opensourcetool voor het reverse engineeren van software. Via het programma kunnen onderzoekers en reverse engineers software analyseren en onderzoeken.

Als voorbeeld noemt de Amerikaanse geheime dienst het onderzoeken van kwaadaardige code zoals malware. Ook moet het cybersecurityprofessionals een beter besef geven van potentiële kwetsbaarheden in hun netwerken en systemen. Ghidra werd begin maart door de NSA uitgebracht, maar de broncode was op dat moment nog niet beschikbaar. Die is inmiddels via GitHub in te zien, zo laat de Amerikaanse geheime dienst via Twitter weten. Op deze manier kunnen gebruikers controleren dat de tool ook daadwerkelijk op de broncode is gebaseerd.