Подписывайтесь на Газету.Ru в Telegram Публикуем там только самое важное и интересное!
Новые комментарии +

На те же грабли: преемник WannaCry заражает тайно

Вирус-преемник WannaCry тайно майнит криптовалюту

На смену вирусу WannaCry пришел майнер WannaMine — этот зловред тайно добывает криптовалюту, перегружая процессор жертвы, что приводит к полному отключению системы. «Газета.Ru» выясняла, чем опасен новый вирус и почему от эксплойта EternalBlue до сих пор нет универсального спасательного средства.

Эксплойт EternalBlue, ранее принадлежащий Агентству национальной безопасности (АНБ) США, а теперь ставший достоянием общественности, продолжает вносить хаос в современный мир.

В 2017 году именно он лег в основу глобального вируса WannaCry, поразившего 150 стран мира, и теперь его снова использовали для получения финансовой выгоды — новый зловред WannaMine на базе EternalBlue тайно майнит криптовалюту с компьютеров.

Трудно найти и невозможно забыть

Этот вирус использует компьютерного червя для скрытого майнинга криптовалюты Monero, которую можно добывать с помощью мощностей обычной видеокарты, не прибегая к дорогостоящему оборудованию.

Обычный пользователь, скорее всего, не заметит, что система заражена, так как в ее работе почти ничего не поменяется — за исключением небольшого замедления скорости обработки информации.

WannaMine может заразить компьютер разными способами — от клика по вредоносной ссылке до таргетированного удаленного проникновения в систему. Сначала вирус использует инструмент Mimikatz для получения доступа к логинам и паролям в памяти компьютера. Если Mimikatz не удается справиться с задачей, то на помощь приходит EternalBlue.

Использование Mimikatz и EternalBlue одновременно является показательным, так как таким образом заразиться может абсолютно любая система, в том числе защищенная актуальным патчем.

В случае, если компьютер является частью корпоративной сети, например, находится в офисе, WannaMine с помощью украденных данных заразит и остальные компьютеры.

«Если раньше EternalBlue использовался только хакерами государственного уровня, теперь он становится более распространенным и появляется в вирусах обычных киберпреступников», — сообщил директор по продуктам CrowdStrike Брайан Йорк в интервью Motherboard.

WannaMine на первый взгляд кажется менее агрессивной версией своего «старшего брата» WannaCry, так как не блокирует компьютеры пользователя, требуя выкуп. Тем не менее, вирус может перегрузить корпоративную сеть, из-за чего компании теряют выгоду.

Йорк подчеркнул, что массовый майнинг криптовалюты в рамках одной компании может остановить ее работу на «несколько дней или даже недель».

Эксперты отмечают, что количество зараженных WannaMine компьютеров продолжает расти. Его достаточно сложно отследить, так как он не устанавливает никакие вредоносные приложения на компьютер жертвы после проникновения. Этот зловред использует только стандартные инструменты, которые можно найти в недрах ОС Windows.

Вирусы-вымогателиь оставляют людям выбор — платить или не платить, рассуждает Брайан Йорк. В случае с WannaMine, пока хакеры имеют доступ к системе жертвы, они продолжают зарабатывать на ней.

«Я считаю, в будущем мы еще не раз столкнемся с растущей изощренностью криптохакеров», — добавил эксперт.

Майнеры в моде

В 2017 году хакерская группировка Shadow Brokers выложила в открытый доступ эксплойт EternalBlue, с помощью которого была совершена одна из крупнейших кибератак в истории — с применением вируса WannaCry. Он блокировал компьютеры жертв и требовал выкуп с биткоинах, угрожая в противном случае удалить все личные данные пользователя.

Спустя некоторое время в мире появился другой вирус, затронувший сразу несколько стран — его назвали NotPetya, а в его основе тоже лежал EternalBlue. Тогда эксперты по информбезопасности предупредили о том, что этот эксплойт вскоре освоит множество хакеров разных уровней, а значит кибератаки будут повторяться с завидной частотой.

Тенденция такова, что на смену программам-вымогателей приходит вредоносное ПО вроде WannaMine с возможностью майнинга криптовалюты, считает специалист по исследованию вредоносного ПО Avast Ладислав Зезула.

«Учитывая, что оба типа угроз нацелены на финансовую выгоду, можно предположить, что добыча криптовалюты прибыльнее, чем выкуп, и майнеры набирают популярность», — сообщил Зезула.

Это уже не первый криптомайнер, который использует уязвимость EternalBlue. В прошлом году, вскоре после WannaCry, появился Adylkuzz — майнер криптовалюты, заражавший компьютеры по всему миру. Пока пользователи не установят необходимые патчи, EternalBlue и другие уязвимости будут легким путем для проникновения злоумышленников.

Руководитель проектов по информационной безопасности КРОК Павел Луцик сообщил «Газете.Ru», что для проникновения в целевые системы эксплойт Eternal Blue использует уязвимость в Windows-реализации протокола SMB, которая была известна еще в начале 2017 года.

«Пример с WannaCry оказался очень показательным и действенным: многие озаботились вопросом безопасности и приняли ряд соответствующих мер, в том числе установив необходимые патчи на ОС. Но, как показала новая атака WannaMine, одних «граблей» недостаточно, чтобы понять, что игнорирование элементарных основ информационной безопасности может дорого обойтись», — заключил Луцик.

Новости и материалы
Акунину грозит новое уголовное дело
Экономист предостерегла от оплаты покупки QR-кодом в магазинах
Бундестаг рассмотрит предложение о передаче Украине ракет Taurus
Лавров объяснил Карлсону, чего хочет Россия
Маск предрек США банкротство
Лавров рассказал о негласных контактах между США и Россией
Экономист оценил высказывание об эрозии доллара
В России хотят создать программу льготной ипотеки для участников СВО
Помощник Байдена и глава офиса Зеленского обсудили нехватку личного состава ВСУ
В ЕП рассказали о последствиях западных санкций против России
В Улан-Удэ задержали рейс в Москву из-за неисправности самолета
Российские поставки платины в США достигли двухлетнего максимума
Силы ПВО за ночь уничтожили 33 украинских беспилотника над регионами РФ
Евродепутаты поинтересовались у Каллас последствиями выдачи МУС ордера на арест Нетаньяху
БРИКС продолжит работу над расчетной системой после угроз Трампа
В США пообещали скоро предоставить Украине новые вооружения
В Россотрудничестве раскрыли причину хороших отношений с Индонезией
В Подмосковье потушили пожар на складе с макулатурой и техникой
Все новости