Перейти к содержанию
Ego Dekker

Год после атаки WannaCryptor: уровень распространения EternalBlue превысил показатели 2017-го

Recommended Posts

Ego Dekker

Год назад программа-вымогатель WannaCryptor.D (также известная как WannaCry и WCrypt) вызвала одни из самых разрушительных последствий в цифровом мире. И хотя сама угроза уже не представляет большой опасности, эксплойт EternalBlue, который вызвал волну распространения, по-прежнему угрожает системам без надлежащей защиты и примененных исправлений. По данным телеметрии ESET, его распространенность в течение последних нескольких месяцев растет, а недавно уровень выявления угрозы превзошел самые высокие показатели 2017 года.

EternalBlue использует уязвимость (в Microsoft Security Bulletin MS17-010) реализации протокола Server Message Block (SMB) в устаревшей версии Microsoft. В результате атаки киберпреступники сканируют Интернет на наличие открытых портов SMB, а обнаружив их, запускают код эксплойта. При наличии уязвимости злоумышленники запускают выбранный под жертву компонент. Именно с помощью этого механизма год назад через сеть распространялась угроза WannaCryptor.D.

Согласно данным телеметрии ESET, в течение следующих месяцев после пика распространения WannaCryptor количество попыток использовать эксплойт EternalBlue уменьшилась до сотни в день. Однако с сентября прошлого года использование угрозы начало медленно расти, достигнув новых высоких показателей в середине апреля 2018 года.

eternalblue.jpg

Выявления EternalBlue в течение 2017-2018 годов в соответствии с ESET Live Grid®

Стоит отметить, что метод проникновения EternalBlue на компьютеры пользователей не является успешным на устройствах с защитой ESET. Один из нескольких уровней защиты — Модуль защиты сети от атак — блокирует эту угрозу на начальном этапе. Это подтвердилось во время распространения WannaCryptor 12 мая 2017, а также всех предыдущих и последующих атаках киберпреступников.

Напомним, эксплойт EternalBlue использовался во многих высокопрофильных кибератаках. Кроме WannaCryptor, эксплойт также применялся во время атаки Diskcoder.C (также известная как Petya, NotPetya и ExPetya) в июне 2017 года, а также программы-вымогателя BadRabbit в 4-м квартале 2017 года. EternalBlue также использовался группой киберпреступников Sednit (также известная как APT28, Fancy Bear и Sofacy) для атак сетей Wi-Fi в европейских отелях.

Кроме этого, эксплойт стал одним из механизмов распространения вредоносных программ для майнинга криптовалюты. А совсем недавно EternalBlue был использован для распространения программы-вымогателя Satan.

Напомним, эксплойт EternalBlue якобы был похищен из Агентства национальной безопасности (NSA), вероятно, в 2016 году. В Интернет угроза попала 14 апреля 2017 благодаря группе Shadow Brokers. Компания Microsoft опубликовала обновление, которое фиксируют уязвимость SMB 14 марта 2017, но до сих пор в реальной среде есть множество машин без примененных исправлений.

Этот эксплойт и все атаки с его использованием показывают важность своевременного применения исправлений, а также потребность в надежном и многоуровневом решении для защиты, которое может заблокировать этот и другие вредоносные инструменты.

Пресс-выпуск.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы для macOS были обновлены до версии 6.10.600. В числе прочего добавлена поддержка Big Sur 11.1 и 11.2.
    • PR55.RP55
      Поле нужно заполнять. Можно заполнять с пометкой: I  >> The Qt Company Ltd.  <<    I    Пустое поле когда есть реальная\полезная информация ? Это не дело. От пустого поля польза = 0.    
    • PR55.RP55
      На V.T.   видимо опять что-то изменили. VTOK [] 1613 VTOK [] 1572 VTOK [] 1585 ----------        
    • santy
      цифровая подпись может не соответствовать производителю, так что не стоит добавлять недостоверную информацию о производителе вместо незаполненного поля. например: файл: C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\7Z.DLL цифровая: Действительна, подписано Malwarebytes Inc производитель: Igor Pavlov   или C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\QT5WINEXTRAS.DLL Действительна, подписано Malwarebytes Inc The Qt Company Ltd.  
    • PR55.RP55
      И ещё момент. В  папке с vtcache скапливается по несколько тысяч файлов... т.е. файлы старше 3 или ( ∞ ) дней не удаляются. Я так понимаю программа проверяет\заменяет только тот файл который проверяется сейчас. А другие файлы могут годами сохраняться. ( сейчас посмотрел есть файлы от 2018 года )  
×