В Интернете распространяется опасный майнер на базе вируса WannaCry

2 февраля 2018 г.

Хакеры нашли новый способ применения эксплойта EternalBlue, украденного у Агенства по национальной безопасности США. В Интернет-сети появился вирус WannaMine, выполняющий майнинг на заражённых компьютерах в тайне от их владельцев. Впервые зловред был обнаружен разработчиками антивирусной программы Panda Security в октябре прошлого года, однако в стадию активного распространения он перешёл только сейчас.

Напомним, что в апреле 2017 года произошло массовое заражение компьютеров под управлением операционной системы Windows вирусом WannaCry, созданного при использовании EternalBlue. При попадании на устройство через уже устранённую уязвимость системы, связанную с протоколом SMB, вирус выполнял её блокировку, а также шифровал всю имеющуюся на компьютере информацию. Для разблокировки данных злоумышленники предлагали пользователям заплатить выкуп в биткойнах. При невыплате «долга» в течение недели с начала заражения, зашифрованные данные уничтожались. Тогда WannaCry охватил около 500 тысяч ПК в 150 странах мира.

«Эксплойт EternalBlue, ранее использовавшийся только госорганами США, стал, практически, базовым инструментом каждого профессионального киберпреступника», - сказал директор по продуктам компании в сфере кибербезопасности CrowdStrike Брайан Йорк.

Можно предположить, что новая атака не представляет такой опасности, как WannaCry, поскольку, в отличие от последнего, её код не может блокировать пользователям доступ к пользованию компьютером. Однако согласно сообщению CrowdStrike, размещённом в их официальном блоге, так может казаться только на первый взгляд. Компания проводила наблюдения за развитием вируса, отмечая, что, при этом, он практически не влиял на работу компьютера. Кроме того, сам вирус, по словам исследователей, было довольно трудно обнаружить.

Йорк сказал, что вирус можно «подхватить» самыми различными способами, начиная от нажатия на подозрительную ссылку, присланную к Вам на электронную почту от незнакомца, заканчивая целенаправленной атакой на компьютер пользователя.

Для выполнения своей работы, вирус используется два стандартных Windows-приложения – средство автоматизации PowerShell и инструментарий управления Windows Management Instrumentation (WMI). Стоит добавить, что к использованию эксплойта зловред прибегает не сразу. Первоначально, WannaMine использует продукт Mimikatz, который выполняет кражу сохранённых в памяти компьютера логинов и паролей. Если Mimikatz это сделать не удаётся, в дело вступает EternalBlue. Кроме того, если компьютер находится внутри локальной сети, то происходит заражение всех её устройств (как и в случае с WannaCry). После кражи данных, вирус достигает процессора компьютера и начинает майнинг криптовалюты Monero. Таким образом, WannaMine, в силу своего строения, практически неподвержен идентификации со стороны антивирусных программ.

«Многие устаревшие антивирусы не могут блокировать вирусы, не имеющие каких-либо следов присутствия на жестком диске компьютера», - отмечает Йорк, - «Если в прошлом случае перед жертвой стоял выбор - платить преступникам деньги или нет, то здесь потерпевшие добывают их им сами. Мне кажется, что в будущем количество майнерских вирусов будет только расти».

Представитель CrowdStrike добавил, что, в случае заражения WannaMine подавляющего большинства компьютеров какой-либо компании, последствия атаки могут оказаться для неё плачевными, вызвав вынужденную приостановку деятельности на неопределённый срок.

Комментарии

Никто ещё не оставил комментариев. Желаете быть первым?