Pasak „eScan“ antivirusinių programų kūrėjų, pažeidžiamumas „EternalRed“ nustatytas tik „Linux“ vartotojų naudojamame „Windows“ suderinamumo su „Linux“ ir „Unix“ programų rinkinyje „Samba“. Saugumo spraga, leidžianti nuotoliniu būdu perimti užkrėsto įrenginio kontrolę, buvo aptikta visose „Samba“ versijose, pradedant 2010 m. pristatytoje 3.5.0. Pažeidžiamumas ištaisytas tik su naujausiomis versijomis 4.6.4, 4.5.10, 4.4.14.
Pirma „SambaCry“ ataka buvo nustatyta gegužės pabaigoje ir neturėjo nieko bendro su „EternalBlue“ pažeidžiamumu ir išpirkos reikalavusiu „WannaCry“ – ji veikė kaip kriptovaliutos gavybos įrankis. Be to, prieš kelias savaites buvo nustatyta, kad beveik 485 000 „Samba“ naudojančių kompiuterių yra paviešinti internete, taigi „SambaCry“ ataka turi potencialo plisti kaip „WannaCry“.
Pirmiausia programišiai tikrina, ar neautorizuotas vartotojas turi leidimą rašyti į užkrėsto kompiuterio tinklo diską. Parašomas tekstinis failas naudojant bet kokius aštuonis simbolius – jei bandymas pavyksta, failas yra ištrinamas, o į kompiuterį atsiunčiamas kenksmingas „Samba“ įskiepis.
Tokiu būdu gavę nuotolinę prieigą prie „Linux“ komandų įvedimo aplinkos, vadinamojo apvalkalo (angl. shell), programišiai gali daryti ką panorėję: trinti duomenis, atsisiųsti ir paleisti bet kokias programas iš interneto. Tačiau dažniausiai į užkrėstą kompiuterį įdiegiamas vienas populiariausių atviro kodo kriptovaliutos gavybos įrankis „cpuminer“.
„Kaip ir „WannaCry“ atveju raginame „Linux“ vartotojus kuo skubiau imtis saugumo priemonių: atnaujinti „Samba“ programinę įrangą ir pasitikrinti, ar kompiuteris nėra užkrėstas kenksmingų programų“, – įmonės „Baltimax“ pardavimų vadovas Deividas Pelenis.
Skaičiuojama, kad „EternalRed“ pažeidžiamumu besinaudojantys programišiai per nepilną mėnesį sugebėjo užsidirbti apie 5 500 JAV dolerių, ir ši suma neišvengiamai didėja.