EternalBlue

El dispositivo de explotación EternalBlue no es nuevo, ya que fue filtrado en abril de 2017 por un grupo llamado 'The Shadows Brokers'. El dispositivo de explotación EternalBlue utiliza vulnerabilidades en la implementación del protocolo SMB de Windows y puede funcionar en versiones antiguas que se usaban antes del lanzamiento de Windows 8 ya que tienen un recurso compartido de comunicación entre procesos (IPC $) que habilita una sesión nula. Al usar la sesión nula, los delincuentes pueden crear una conexión mediante un inicio de sesión anónimo que habilita la sesión nula de forma predeterminada, lo que permite que el servidor reciba múltiples comandos del cliente.

El dispositivo de explotación EternalBlue explota tres errores, el 'Error de asignación de grupo no paginado', el 'Error de conversión incorrecto' y el 'Error de función de análisis incorrecto'. El error de asignación de grupo no paginado instala varios componentes amenazantes en las máquinas infectadas y atacará a las que tienen contraseñas frágiles. El dispositivo de explotación EternalBlue también agrega un cripto minero de Monero, XMRig, que logrará su objetivo principal; minería de criptas. El dispositivo de explotación EternalBlue también se puede utilizar para ejecutar muchas más tareas en los dispositivos que infecta. Los usuarios de computadoras afectados por él deben usar un producto anti-malware para detectar y eliminar el dispositivo de explotación EternalBlue de sus máquinas de inmediato.