Вы используете устаревший браузер!

Страница может отображаться некорректно.

Закодировать всё

Закодировать всё

Другие выпуски этой рубрики (28)
  • добавить в избранное
    Добавить в закладки

WannaCry: таланты и их поклонники

Прочитали: 4542 Комментариев: 141 Рейтинг: 141

Напомним, что WannaCry для своей работы использовал инструменты и уязвимости, которые были опубликованы группировкой The Shadow Brokers, похитившей их у Equation Group, подозреваемой в связях с Агентством национальной безопасности США.

«Эпидемия» WannaCry (именно так, в кавычках) выглядит довольно странно:

  1. Система распространения WannaCry существенно отличается от привычных шифровальщиков, распространяющихся через почтовые спам-рассылки и тогда количество заражений пропорционально мощности рассылки. В отличие от них, WannaCry похож на финансовую пирамиду: каждый новый зараженный компьютер пытается заражать и локальную сеть, и другие интернет-адреса. Очень похоже на эпидемии начала века. Но итог! Melissa заразила 20% компьютеров по всему миру. I Love You! – миллионы ПК за несколько часов. Может быть, Интернет стал более защищенным с тех пор?

    Более чем 18% пользователей работают на ПК с нелицензионной ОС Windows, у 23% отключен сервис Windows Update.

    А что WannaCry? По разным оценкам – всего от 200 до 400 тысяч компьютеров.

    Как сообщил MalwareHunter, 19 мая XData инфицировал в четыре раза больше украинских пользователей, чем печально известный червь WannaCry за всю неделю.

    http://www.securitylab.ru/news/486205.php

    Вы слышали от СМИ об XData (он же Trojan.Encoder.11526 в классификации Dr.Web)? Странно.

  2. Атака затронула практически исключительно крупнейшие компании и частных пользователей – количество пострадавших компаний малого и среднего бизнеса незначительно.

    Ответы партнеров «Доктор Веб» на вопрос о том, пострадали ли компании малого и среднего бизнеса из числа их клиентов (имена партнеров убраны):

    M..:еще нет
    А..:нет
    А..:нет
    В..:нет
    В..:у нас вообще никто не пострадал, но все напугались :)

    Странно для столь мощного способа распространения? Не то слово. А вот пиар был обеспечен отменный.

    Как вы считаете, почему именно этот шифровальщик был так распиарен в СМИ? Конспирология?

    Вопрос в ходе вебинара для партнеров «Доктор Веб»

  3. Возможность расшифровки не гарантирована, так как ключи шифрования файлов, на которых пользователю демонстрируется возможность расшифровки, и всех остальных зашифрованных файлов – разные.
  4. Сумма выкупа (от 300 долларов США в биткойнах) – для основной массы заразившихся компаний – даже не деньги. Для многих из них факт выплаты вымогателям невозможен по причинам репутации.

Итог истории с WannaCry – огромное число публикаций в СМИ при минимуме заражений и весьма скромном заработке злоумышленников. Кому это выгодно? Неизвестно.

Но как минимум для желающих заработать были продемонстрировано следующее:

  1. Возможность атаковать не менее четверти компьютеров мира.
  2. Возможность осуществить гарантированное проникновение – не нужно полагаться на то, что пользователь кликнет по ссылке, поскольку проникший троянец автоматически получает права администратора.

WannaCry достаточно примитивен, и о его недостатках говорили мировые СМИ:

  1. Отсутствие перешифрования.
  2. Отсутствие средств маскировки от антивирусных программ.
  3. Уязвимая система связи с серверами управления.

Не нужен шаманский бубен для предсказания того, что должно случиться дальше.

Раз:

Исследователь Мирослав Стампар (Miroslav Stampar) обнаружил сетевого червя EternalRocks, использующего сразу семь эксплоитов АНБ – EternalBlue, Eternalchampion, Eternalromance, Eternalsynergy, Doublepulsar, Architouch и SMBtouch.

С целью обмануть исследователей безопасности EternalRocks маскируется под WannaCry, однако в отличие от последнего не загружает на атакуемую систему вымогательское ПО. Вредонос используется для подготовки на системе жертвы плацдарма для осуществления дальнейших атак.

Для связи с C&C-сервером EternalRocks использует Tor. Получив первый запрос от червя, сервер отвечает лишь спустя 24 часа отправкой файла shadowbrokers.zip. После разархивирования файла червь начинает сканировать интернет на предмет открытых портов 445. В отличие от WannaCry в коде вредоноса отсутствует вшитый адрес домена, позволяющего его отключить. На зараженной системе EternalRocks получает права администратора, и даже если потом на ОС было установлено исправляющее уязвимость обновление, червь продолжает действовать.

http://www.securitylab.ru/news/486210.php

Видно, что код троянца (определяемого Dr.Web как Trojan.EternalRocks.1) существенно интереснее – целых 7 используемых уязвимостей!

Два:

Уязвимость EternalBlue, использованная в шифровальщике WannaCry, была использована и в майнере криптовалюте Adylkuzz, также распространяющемся с помощью EternalBlue

http://www.securitylab.ru/news/486210.php

Три (самый продвинутый вариант):

UIWIX является новым семейством вредоносного ПО. Как и WannaCry, вредонос эксплуатирует уязвимость в SMB, исправленную с выходом бюллетеня безопасности MS17-010. Эксплоит для нее (EternalBlue) предположительно был в распоряжении Агентства национальной безопасности США до тех пор, пока его не опубликовали хакеры из The Shadow Brokers.

Помимо эксплуатации одной и той же уязвимости, UIWIX и WannaCry больше ничем не похожи. В отличие от WannaCry, UIWIX не использует файлы – после эксплуатации уязвимости вредонос выполняется в памяти. В ходе атаки на диск компьютера не записываются никакие файлы/компоненты, что усложняет обнаружение вредоносного ПО. UIWIX гораздо незаметнее, чем WannaCry. Оказавшись на виртуальной машине или в песочнице, вредонос самоуничтожается. Кроме того, функция самоуничтожения срабатывает, если вымогатель попадает на компьютер в России, Казахстане или Белоруссии.

В отличие от WannaCry, UIWIX не сохраняется на инфицированной системе после перезагрузки компьютера, и в его коде нет вшитого адреса домена, позволяющего отключить функцию шифрования файлов. Авторы UIWIX требуют за расшифровку файлов меньшую сумму - $200, а не $300-600.

Как показал анализ кода, UIWIX способен собирать учетные данные для авторизации в браузере, сервисах электронной почты, мессенджерах и FTP.

http://www.securitylab.ru/news/486177.php
http://www.securitylab.ru/blog/personal/aodugin/341866.php

Dr.Web классифицирует данного троянца как Trojan.Encoder.11536. В нем реализованы методы сокрытия от антивирусов, он определяет наличие виртуальных машин и песочниц для их обхода.

Станет ли использование уязвимостей новым популярным трендом проникновения? Время покажет.

#шифровальщик #Trojan.Encoder #киберпреступление #вирусописатель #обновления_безопасности #уязвимость #вымогательство

Dr.Web рекомендует

  • Cвершилось то, о чем предупреждали большевики специалисты по ИБ: ставить обновления НУЖНО — для всего ПО, установленного на компьютере. Кому не лень, может посчитать, сколько раз мы писали об этом в «Антивирусной правде». Потому что если не обновляться, картина может быть, например, такая:

    #drweb

    Результат атаки троянца-шифровальщика, фото взято с http://www.securitylab.ru/blog/personal/Morning/341825.php

    Мы неоднократно писали, что публикация уязвимостей – это зло, так как, хотя к ним и выпускают патчи, пользователи их не устанавливают. Причем не устанавливают от слова «совсем». Об этом известно и злоумышленникам!

    Мой текущий личный ноут, работающий на «Windows 7 Домашняя расширенная», разного рода патчи устанавливает автоматически, когда я его выключаю...

    Да и имеющийся у меня W10-планшет автоматически ставит новые патчи при его включении... Неужели корпоративные настольные ПК не обновляют свои ОС автоматически при включении или выключении?

    Вопрос журналиста в пиар-службу «Доктор Веб»

    Часто сразу после публикации уязвимостей (и выпуска патчей) начинаются массовые атаки хакеров или скрипт-кидди – «умельцев», которые сами они не могут разрабатывать/искать уязвимости и пользуются результатами чужого «труда».

    Если бы у всех были установлены патчи – ни один из вышеперечисленных троянцев никогда бы не постучался в вашу дверь.

    У меня тесть поймал... Играл в Танчики онлайн, отошел чаю налить и подошедши к компу обнаружил окно шифратора и сообщение что все зашифровано.

    Сообщение участника вебинара для партнеров «Доктор Веб»

  • Отключайте все ненужные сервисы. Чтобы атака WannaCry стала невозможной, можно было даже не устанавливать патчи, а просто выполнить одну системную команду! Кстати, рекомендация об отключении SMBv1 опубликована еще в 2016 году, Карл!

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: