WannaCry: кто услышит Кассандру?
Троянец WannaCry свалился как снег на голову и мгновенно стал головной болью специалистов по безопасности. Хотя стоп: действительно ли это стало неожиданностью?
Обновление MS17-010, устранившее уязвимости в Windows SMB, которые использовал WannaCry, было выпущено в марте 2017 года. Примерно тогда же уязвимости, опубликованные Shadow Brokers, стали доступны экспертам для анализа. И если само по себе обновление могло ничего не говорить системным администраторам, то мнения экспертов публиковались достаточно широко, и те, кто следит за новостями в мире ИБ, должны были их услышать.
DoublePulsar (один из опубликованных инструментов, позволявший внедрять в память атакованной машины вредоносный код) первым проанализировал старший ИБ-аналитик RiskSense Шон Диллон. По его мнению, данный инструмент обходит встроенные средства защиты и обеспечивает полный контроль над системой.
Еще до атаки WannaCry Дэн Тентлер, учредитель и гендиректор Phobos Group, просканировал Интернет и обнаружил, что 3,1% машин, имевших уязвимость, уже заражены.
Анализ интернет-ресурсов, проведенный Мэтью Хики, основателем британской консалтинговой компании Hacker House, показал, что с момента публикации эксплойтов (7 апреля 2017 года) начались исследования возможностей их использования, появились публикации документов и видеороликов, вместе с которыми мог загрузиться и эксплойт. Это говорило о том, что опубликованные эксплойты работоспособны и готовы к применению. «Таким образом, данная уязвимость стремительно теряет позиции эксклюзива, доступного лишь хорошо обеспеченным хакерам, и переходит в разряд оружия массового поражения. Не за горами то время, когда эти эксплойты начнут использоваться для доставки программ-вымогателей, ботов и других зловредов». При этом, по словам Джейка Уильямса, президента Rendition InfoSec, также известного как MalwareJake, до определенного момента атаки проводились вручную: злоумышленник сам указывал адрес атакуемого ресурса и ждал результатов.
Кто-то услышал этих Кассандр?
По идее, паника, поднятая в СМИ, должна была до каждого донести информацию о необходимости закрытия уязвимости. Но:
- более чем 18% пользователей в мире используют нелицензионные версии Windows,
- у 23% (почти четверть!) отключен сервис Windows Update,
- а 6% используют ОС, для которых обновления не выпускаются в принципе.
Conficker (он же Downup, Downadup и Kido) начал свою атаку 21 ноября 2008 года и к январю следующего года поразил 12 миллионов компьютеров по всему миру. Заражения стали возможны благодаря тому, что значительная часть пользователей не установила обновление MS08-067. Думаете, теперь эти обновления установлены у всех? Как бы не так!
В последнее время компьютерная сеть подвергается эпидемии Win32.HLLW.Shadow, он же Conficker
Запрос в техподдержку «Доктор Веб»
Угадайте, в каком году мы получили такой запрос. В 2017!
#обновления_безопасности #безопасность #Trojan.Encoder #троянец #шифровальщик #эксплойт #уязвимостьDr.Web рекомендует
Недавно мы объявили о мерах, которыми компания «Доктор Веб» принуждает пользователей к правильному применению антивирусной защиты. Эти меры вызвали немало возмущенных откликов от наших пользователей. А зря.
Приведенный пример с Win32.HLLW.Shadow показывает, что призывы не работают. Неужели, чтобы обратить внимание на собственную безопасность, обязательно нужно заразиться?
P.S. Интересно, сколько лет еще будет успешно использоваться DoublePulsar?
Нам важно ваше мнение
10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Toma
14:22:22 2018-12-06
Вопрос риторический, видимо только так.
Денисенко Павел Андреевич
21:53:02 2018-08-05
Неуёмный Обыватель
00:01:19 2018-07-01
Влад58028
07:35:51 2018-06-21
vasvet
02:24:25 2018-04-09
sapfira
10:36:24 2017-07-21
Сэм
17:17:27 2017-07-17
TV
18:07:24 2017-07-16
Nett
15:13:29 2017-07-14
Nikodim2011
14:44:36 2017-07-14
AntonIT
16:11:58 2017-07-13
Tom
14:21:07 2017-07-12
Azat.N
13:53:19 2017-07-12
Дмитрий
13:20:42 2017-07-12
Самуил Христианин
12:38:58 2017-07-12
Dvakota
09:10:19 2017-07-12
vlm200916
02:01:55 2017-07-12
Lia00
01:50:47 2017-07-12
Астанавитесь Людмила!
01:38:53 2017-07-12
LG, может уже объясните на основании чего вы так усердно ликвидируете аккаунты тех, кто не льстит и иногда замечает шероховатости и помогает совершенствоваться? А то @dyadya_Sasha, @Шалтай_Александр_Болтай, @Пaвeл, @Любитель_пляжного_футбола, @Karpensky, @a13x, @Sasha50, @tigra и другие не понимают, куда делся Неуёмный Обыватель. И как справедливо замечает @AntonIT, "всех кто не льстит, - объявят троллями и "сожгут".
Но даже и это не подходит. Ибо "жгут" теперь уже сразу после регистрации и первого же нейтрального сообщения. Может расскажете, по какой причине вы не глядя удаляли аккаунты вновь созданных пользователей? А может просто добавить в правила пункт: "Аккаунт может быть удален на основе личной неприязни администратора к любому пользователю сайта"? Ну чтобы всё по-честному было, а не так: захотела, обозвала и прихлопнула назойливую муху.
Сама по себе диктатура или деспотия, как форма правления может быть достаточно эффективной. Особенно в сложных условиях. Однако, каждый раз тираны совершают одну и ту же ошибку- окружают себя льстецами и ликвидируют тех, кто смеет озвучивать ошибки и недоработки. Это в конечном итоге ведет к саморазрушению такой системы, так как ошибки перестают замечаться и все воспринимается в радужном свете. Естественно, со временем накопившаяся критическая масса ошибок, косяков, недочетов и проблем просто надламывает всю систему.
Littlefish
00:01:58 2017-07-12
stavkafon
23:59:23 2017-07-11
gattcka
23:36:06 2017-07-11
eaglebuk
23:35:10 2017-07-11
Luger
22:44:47 2017-07-11
razgen
22:33:32 2017-07-11
dyadya_Sasha
22:33:14 2017-07-11
В определенных обновлениях. В некоторых обновлениях- ключ беспокойства, которое наступает после их установки.
dyadya_Sasha
22:30:02 2017-07-11
Заразиться недостаточно. Нужно ещё узнать, что заразились многие из твоего окружения. Реально действуют только эпидемии, а разовое заражение на многих не действует.Особенно, если потери не велики.
razgen
22:26:01 2017-07-11
Шалтай Александр Болтай
22:08:56 2017-07-11
razgen
21:54:27 2017-07-11
По моему мнению столь широкому заражению способствовало так же и то, что в то время пользователи в меньшей степени чем сейчас использовали антивирусы.
Пaвeл
21:42:15 2017-07-11
Galina X
21:31:50 2017-07-11
Sapfir
21:17:07 2017-07-11
Любитель пляжного футбола
21:14:44 2017-07-11
Полагаю, что это не так просто получить точные данные. Да, можно пользоваться нелицензионной ОС, но она может строить мелкие пакости, например, вывешивать баннер, не сохранять после перезагрузки фоновый рисунок на рабочем столе и пр. Кому-то это до лампочки, и работают с этой ОС дальше. Но можно ведь и "легализовать" нелицензионную ОС с помощью всякого рода активаторов. А таких пользователей (а их немало), полагаю, не так и просто вычислить по одному выходу в интернет.
Dmur
21:13:20 2017-07-11
aleks_ku
21:11:44 2017-07-11
vla_va
21:05:50 2017-07-11
Татьяна
21:01:41 2017-07-11
Vladimir
20:58:02 2017-07-11
beoris
20:47:20 2017-07-11
Andromeda
20:42:18 2017-07-11
EvgenyZ
20:39:57 2017-07-11
Альфа
20:32:29 2017-07-11
orw_mikle
20:27:14 2017-07-11
Masha
20:24:02 2017-07-11
Demon
20:19:29 2017-07-11
В...а
20:19:07 2017-07-11
Ruslan
20:13:27 2017-07-11
НинаК
19:48:31 2017-07-11
Сергей
19:32:39 2017-07-11