Более 245 тыс. Windows-систем всё ещё уязвимы перед BlueKeep

Олег Иванов 17 Ноября 2020 - 10:33

Домашние пользователи

...

Спустя полтора года после того, как Microsoft раскрыла детали опасной уязвимости BlueKeep, более 245 тысяч систем Windows так и не получили патчи. Другими словами, эти компьютеры остаются уязвимыми к подобным атакам, затрагивающим службу Windows RDP.

Эта цифра сейчас составляет 25% от общего числа систем, подверженных проблеме безопасности — 950 000. К слову, другая уязвимость — SMBGhost до сих пор угрожает 103 тыс. устройств, хотя информация о ней появилась ещё в марте 2020 года.

Обе бреши позволяют атакующему удалённо получить контроль над компьютерами под управлением Windows. Эти баги по праву называют одними из самых опасных за последние несколько лет.

Один из специалистов SANS ISC Ян Коприва обращает внимание на отсутствие патчей во многих системах. Причём владельцы и администраторы устройств не только оставляют лазейки для таких опасных уязвимостей, как BlueKeep and SMBGhost, но и пропускают ряд других дыр.

Из таблицы ниже видно, насколько непростая ситуация с патчингом отдельных систем. В третьем столбце отмечено число уязвимых компьютеров, а четвёртый приводит балл по шкале CVSSv3 и говорит о степени опасности бреши.

Удивительно, что даже настойчивые рекомендации от властей США и различных спецслужб не помогли администраторам понять всю важность своевременного патчинга уязвимых систем.

Следующая главная новость »

Российская инфраструктура виртуальных рабочих столов: ошибки внедрения и перспективы на 2026 год. Обсудим в эфире AM Live. Регистрируйтесь »

Екатерина Быстрова 12 Декабря 2025 - 09:12

Вирусы-вымогатели Вирусы-шифровальщики Целевые атаки Таргетированные атаки Корпорации Государство

VolkLocker: новый шифровальщик хранит ключи в виде простого текста

Хактивистская группировка CyberVolk, которую на Западе связывают с пророссийской сценой, снова объявилась после нескольких месяцев тишины — и не просто так, а с собственной программой-вымогателем. Вредонос явно недоработали, поскольку он хранит ключи в виде простого текста.

Летом CyberVolk запустила обновлённую версию своего шифровальщика CyberVolk 2.x, он же VolkLocker. Вся его инфраструктура находится целиком в Telegram. И такой подход делает жизнь киберпреступников проще.

Через мессенджер CyberVolk может:

генерировать сборки шифровальщика,
управлять атаками,
вести учёт жертв,
отправлять сообщения пострадавшим,
заниматься всей «бизнес-логикой» — не выходя из Telegram.

Фактически, даже минимальные технические навыки больше не нужны: Telegram-боты и автоматизация делают всю грязную работу.

При всей этой «продвинутости» разработчики VolkLocker допустили почти анекдотическую ошибку. Как выяснил старший исследователь SentinelOne Джим Уолтер, мастер-ключи шифрования оказались жёстко прописаны прямо в исполняемых файлах.

Речь идёт об одном и том же ключе, которым шифруются все файлы в системе жертвы. Более того, зловред ещё и сохраняет открытый текстовый файл с этим ключом во временной директории %TEMP%.

По словам Уолтера, это, скорее всего, «тестовый артефакт, случайно попавший в боевые сборки». Проще говоря, разработчики забыли вычистить отладочный код. В результате у жертв появляется реальный шанс восстановить данные без уплаты выкупа.

Группировку CyberVolk впервые подробно описали ещё в прошлом году. В отличие от таких известных коллективов, как CyberArmyofRussia_Reborn или NoName057(16), которых власти США напрямую связывают с Кремлём, у CyberVolk нет явных следов прямого государственного кураторства.

Есть и ещё одно отличие: если большинство идеологически мотивированных групп ограничиваются DDoS-атаками «для шума», CyberVolk делает ставку именно на шифровальщики.

Большую часть 2025 года группировка провела в тени — Telegram несколько раз банил их каналы и ботов. Но уже в августе CyberVolk вернулась с новым RaaS-предложением.

Что умеет VolkLocker: