Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

WannaCry: кто услышит Кассандру?

Прочитали: 5551 Комментариев: 68 Рейтинг: 139

11 июля 2017

Троянец WannaCry свалился как снег на голову и мгновенно стал головной болью специалистов по безопасности. Хотя стоп: действительно ли это стало неожиданностью?

Обновление MS17-010, устранившее уязвимости в Windows SMB, которые использовал WannaCry, было выпущено в марте 2017 года. Примерно тогда же уязвимости, опубликованные Shadow Brokers, стали доступны экспертам для анализа. И если само по себе обновление могло ничего не говорить системным администраторам, то мнения экспертов публиковались достаточно широко, и те, кто следит за новостями в мире ИБ, должны были их услышать.

DoublePulsar (один из опубликованных инструментов, позволявший внедрять в память атакованной машины вредоносный код) первым проанализировал старший ИБ-аналитик RiskSense Шон Диллон. По его мнению, данный инструмент обходит встроенные средства защиты и обеспечивает полный контроль над системой.

Еще до атаки WannaCry Дэн Тентлер, учредитель и гендиректор Phobos Group, просканировал Интернет и обнаружил, что 3,1% машин, имевших уязвимость, уже заражены.

Анализ интернет-ресурсов, проведенный Мэтью Хики, основателем британской консалтинговой компании Hacker House, показал, что с момента публикации эксплойтов (7 апреля 2017 года) начались исследования возможностей их использования, появились публикации документов и видеороликов, вместе с которыми мог загрузиться и эксплойт. Это говорило о том, что опубликованные эксплойты работоспособны и готовы к применению. «Таким образом, данная уязвимость стремительно теряет позиции эксклюзива, доступного лишь хорошо обеспеченным хакерам, и переходит в разряд оружия массового поражения. Не за горами то время, когда эти эксплойты начнут использоваться для доставки программ-вымогателей, ботов и других зловредов». При этом, по словам Джейка Уильямса, президента Rendition InfoSec, также известного как MalwareJake, до определенного момента атаки проводились вручную: злоумышленник сам указывал адрес атакуемого ресурса и ждал результатов.

Кто-то услышал этих Кассандр?

По идее, паника, поднятая в СМИ, должна была до каждого донести информацию о необходимости закрытия уязвимости. Но:

  • более чем 18% пользователей в мире используют нелицензионные версии Windows,
  • у 23% (почти четверть!) отключен сервис Windows Update,
  • а 6% используют ОС, для которых обновления не выпускаются в принципе.

Conficker (он же Downup, Downadup и Kido) начал свою атаку 21 ноября 2008 года и к январю следующего года поразил 12 миллионов компьютеров по всему миру. Заражения стали возможны благодаря тому, что значительная часть пользователей не установила обновление MS08-067. Думаете, теперь эти обновления установлены у всех? Как бы не так!

В последнее время компьютерная сеть подвергается эпидемии Win32.HLLW.Shadow, он же Conficker

Запрос в техподдержку «Доктор Веб»

Угадайте, в каком году мы получили такой запрос. В 2017!

#обновления_безопасности #безопасность #Trojan.Encoder #троянец #шифровальщик #эксплойт #уязвимость

Антивирусная правДА! рекомендует

Недавно мы объявили о мерах, которыми компания «Доктор Веб» принуждает пользователей к правильному применению антивирусной защиты. Эти меры вызвали немало возмущенных откликов от наших пользователей. А зря.

Приведенный пример с Win32.HLLW.Shadow показывает, что призывы не работают. Неужели, чтобы обратить внимание на собственную безопасность, обязательно нужно заразиться?

P.S. Интересно, сколько лет еще будет успешно использоваться DoublePulsar?

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: