ชุดเครื่องมือของ NSA ที่ถูกปล่อยมาโดยกลุ่ม Shadow Broker เริ่มถูกนำไปใช้งานแบบหวังผลมากขึ้น เมื่อมัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ WannaCrypt พัฒนาโดยใช้เครื่องมือ EternalBlue เป็นฐานเพื่อเจาะเซิร์ฟเวอร์วินโดวส์ที่เปิด SMB ออกอินเทอร์เน็ต

WannaCrypt เรียกค่าไถ่ 300-600 ดอลลาร์สำหรับการถอดรหัสข้อมูล พร้อมกับติดตั้งมัลแวร์ DoublePulsar จาก NSA อีกเช่นกันเพื่อติดต่อกลับไปยังเซิร์ฟเวอร์

ข่าวดีคือ WannaCrypt ถูกโค้ดให้ตรวจสอบเว็บเซิร์ฟเวอร์ตัวหนึ่ง หากตรวจพบมันจะหยุดทำงาน ตอนนี้โดเมนนี้เปิดใช้งานอยู่แล้วมัลแวร์จึงหยุดการแพร่กระจายอยู่

EternalBlue อาศัยช่องโหว่ที่ของ SMB ที่ไมโครซอฟท์แพตช์ไปแล้วตั้งแต่เดือนมีนาคมที่ผ่านมา ทางป้องกันมีได้หลายทาง ตั้งแต่ปิด SMBv1 เสีย, เปิดไฟร์วอลล์ไม่รับการเชื่อมต่อพอร์ต 139 และ 445 จากอินเทอร์เน็ต หรืออัพเดตวินโดวส์ให้เรียบร้อย

ที่มา - The Register, Cisco Talos Intellgence