Эксплойт EternalBlue, ранее принадлежащий Агентству национальной безопасности (АНБ) США, а теперь ставший достоянием общественности, продолжает вносить хаос в современный мир.
В 2017 году именно он лег в основу глобального вируса WannaCry, поразившего 150 стран мира, и теперь его снова использовали для получения финансовой выгоды — новый зловред WannaMine на базе EternalBlue тайно майнит криптовалюту с компьютеров.
Трудно найти и невозможно забыть
Этот вирус использует компьютерного червя для скрытого майнинга криптовалюты Monero, которую можно добывать с помощью мощностей обычной видеокарты, не прибегая к дорогостоящему оборудованию.
Обычный пользователь, скорее всего, не заметит, что система заражена, так как в ее работе почти ничего не поменяется — за исключением небольшого замедления скорости обработки информации.
WannaMine может заразить компьютер разными способами — от клика по вредоносной ссылке до таргетированного удаленного проникновения в систему. Сначала вирус использует инструмент Mimikatz для получения доступа к логинам и паролям в памяти компьютера. Если Mimikatz не удается справиться с задачей, то на помощь приходит EternalBlue.
Использование Mimikatz и EternalBlue одновременно является показательным, так как таким образом заразиться может абсолютно любая система, в том числе защищенная актуальным патчем.
В случае, если компьютер является частью корпоративной сети, например, находится в офисе, WannaMine с помощью украденных данных заразит и остальные компьютеры.
«Если раньше EternalBlue использовался только хакерами государственного уровня, теперь он становится более распространенным и появляется в вирусах обычных киберпреступников», — сообщил директор по продуктам CrowdStrike Брайан Йорк в интервью Motherboard.
WannaMine на первый взгляд кажется менее агрессивной версией своего «старшего брата» WannaCry, так как не блокирует компьютеры пользователя, требуя выкуп. Тем не менее, вирус может перегрузить корпоративную сеть, из-за чего компании теряют выгоду.
Йорк подчеркнул, что массовый майнинг криптовалюты в рамках одной компании может остановить ее работу на «несколько дней или даже недель».
Эксперты отмечают, что количество зараженных WannaMine компьютеров продолжает расти. Его достаточно сложно отследить, так как он не устанавливает никакие вредоносные приложения на компьютер жертвы после проникновения. Этот зловред использует только стандартные инструменты, которые можно найти в недрах ОС Windows.
Вирусы-вымогателиь оставляют людям выбор — платить или не платить, рассуждает Брайан Йорк. В случае с WannaMine, пока хакеры имеют доступ к системе жертвы, они продолжают зарабатывать на ней.
«Я считаю, в будущем мы еще не раз столкнемся с растущей изощренностью криптохакеров», — добавил эксперт.
Майнеры в моде
В 2017 году хакерская группировка Shadow Brokers выложила в открытый доступ эксплойт EternalBlue, с помощью которого была совершена одна из крупнейших кибератак в истории — с применением вируса WannaCry. Он блокировал компьютеры жертв и требовал выкуп с биткоинах, угрожая в противном случае удалить все личные данные пользователя.
Спустя некоторое время в мире появился другой вирус, затронувший сразу несколько стран — его назвали NotPetya, а в его основе тоже лежал EternalBlue. Тогда эксперты по информбезопасности предупредили о том, что этот эксплойт вскоре освоит множество хакеров разных уровней, а значит кибератаки будут повторяться с завидной частотой.
Тенденция такова, что на смену программам-вымогателей приходит вредоносное ПО вроде WannaMine с возможностью майнинга криптовалюты, считает специалист по исследованию вредоносного ПО Avast Ладислав Зезула.
«Учитывая, что оба типа угроз нацелены на финансовую выгоду, можно предположить, что добыча криптовалюты прибыльнее, чем выкуп, и майнеры набирают популярность», — сообщил Зезула.
Это уже не первый криптомайнер, который использует уязвимость EternalBlue. В прошлом году, вскоре после WannaCry, появился Adylkuzz — майнер криптовалюты, заражавший компьютеры по всему миру. Пока пользователи не установят необходимые патчи, EternalBlue и другие уязвимости будут легким путем для проникновения злоумышленников.
Руководитель проектов по информационной безопасности КРОК Павел Луцик сообщил «Газете.Ru», что для проникновения в целевые системы эксплойт Eternal Blue использует уязвимость в Windows-реализации протокола SMB, которая была известна еще в начале 2017 года.
«Пример с WannaCry оказался очень показательным и действенным: многие озаботились вопросом безопасности и приняли ряд соответствующих мер, в том числе установив необходимые патчи на ОС. Но, как показала новая атака WannaMine, одних «граблей» недостаточно, чтобы понять, что игнорирование элементарных основ информационной безопасности может дорого обойтись», — заключил Луцик.