به گزارش ایسنا، در ماه آوریل سال ۲۰۱۷ گروه Shadow Brokers ابزارها و اکسپلویتهایی را در فضای وب منتشر کردند که گفته میشود از سازمان امنیت ملی آمریکا (NSA) به سرقت رفته است که حفره امنیتی EternalRomance و EternalBlue هم جزو آنان بود.
این گروه اکسپلویتها و ابزارهای چهار حفره امنیتی را از آژانس امنیت ملی آمریکا به سرقت بردند که عبارتند از: EternalBlue, EternalChampion, EternalRomance, EternalSynergy ؛ در ماه مارس شرکت مایکروسافت بهروزرسانی جدیدی را برای برطرف کردن آسیبپذیری EternalRomance ارائه کرد اما متاسفانه بسیاری از شرکتها و سازمانهای بزرگ سیستمهای خود را بهروزرسانی نکردند.
مایکروسافت و شرکت F-Secure (یک شرکت فنلاندی تولیدکننده نرمافزارهای امنیتی و ضدویروس مستقر در هلسینکی است که دفاتری در مالزی و آمریکا دارد و کار تحلیل ضدویروس و توسعه نرمافزاری آن را بهطور مداوم انجام میدهند) هم وجود این باج افزار را تایید کردهاند.
تا پیش از این گزارش شده بود که هیچ یک از تروجانها و باجافزارهای منتشر شده در این هفته از هیچ یک از ابزارهای توسعه یافته آژانس امنیت ملی آمریکا استفاده نمیکند اما بر خلاف گزارش قبل، اخیرا گزارشی توسط بخش ابهامزدایی امنیت اطلاعات سیسکو تهیه شده که طبق آن باج افزار خرگوش بد از حفره EternalRomance استفاده میکند. همچنین علاوه بر باج افزار خرگوش بد، باجافزار NotPetya (که با نامهای ExPetr و Nyetya هم شناخته میشود) و باج افزار WannaCry هم از حفرههای امنیتی EternalRomance و EternalBlue استفاده میکردند.
اما اکسپلویت حفره امنیتی EternalRomance از نوع RCE (remote code execution)، نقص امنیتی است که به هکر اجازه میدهد تا دستورات ترمینال یا CMD از راه دور برروی سرور اجرا کند و از نقص امنیتی موجود در پروتکل smb ویندوز استفاده میکند. طبق گزارش مرکز اطلاع رسانی پلیس تولید و تبادل اطلاعات، پروتکل SMB( Server Message Block) پروتکلی برای به اشتراکگذاری فایل بین کلاینت و سرور است.
این پروتکل توسط شرکت IBM با هدف به اشتراک گذاری منابعی مانند پرینتر، فایل و … توسعه داده شد. SMB در سیستمعاملهای مایکروسافت استفاده شده است. باج افزار خرگوش بد در سایتهای ارائه دهنده مالتی مدیا در روسیه با تحریک کاربران برای نصب فلش پلیر، کاربران خود را آلوده میکند و از کاربران مبلغ ۰.۰۵ بیتکوین طلب میکند.