Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

WannaCry: кто услышит Кассандру?

Прочитали: 3145 Комментариев: 119 Рейтинг: 131

Троянец WannaCry свалился как снег на голову и мгновенно стал головной болью специалистов по безопасности. Хотя стоп: действительно ли это стало неожиданностью?

Обновление MS17-010, устранившее уязвимости в Windows SMB, которые использовал WannaCry, было выпущено в марте 2017 года. Примерно тогда же уязвимости, опубликованные Shadow Brokers, стали доступны экспертам для анализа. И если само по себе обновление могло ничего не говорить системным администраторам, то мнения экспертов публиковались достаточно широко, и те, кто следит за новостями в мире ИБ, должны были их услышать.

DoublePulsar (один из опубликованных инструментов, позволявший внедрять в память атакованной машины вредоносный код) первым проанализировал старший ИБ-аналитик RiskSense Шон Диллон. По его мнению, данный инструмент обходит встроенные средства защиты и обеспечивает полный контроль над системой.

Еще до атаки WannaCry Дэн Тентлер, учредитель и гендиректор Phobos Group, просканировал Интернет и обнаружил, что 3,1% машин, имевших уязвимость, уже заражены.

Анализ интернет-ресурсов, проведенный Мэтью Хики, основателем британской консалтинговой компании Hacker House, показал, что с момента публикации эксплойтов (7 апреля 2017 года) начались исследования возможностей их использования, появились публикации документов и видеороликов, вместе с которыми мог загрузиться и эксплойт. Это говорило о том, что опубликованные эксплойты работоспособны и готовы к применению. «Таким образом, данная уязвимость стремительно теряет позиции эксклюзива, доступного лишь хорошо обеспеченным хакерам, и переходит в разряд оружия массового поражения. Не за горами то время, когда эти эксплойты начнут использоваться для доставки программ-вымогателей, ботов и других зловредов». При этом, по словам Джейка Уильямса, президента Rendition InfoSec, также известного как MalwareJake, до определенного момента атаки проводились вручную: злоумышленник сам указывал адрес атакуемого ресурса и ждал результатов.

Кто-то услышал этих Кассандр?

По идее, паника, поднятая в СМИ, должна была до каждого донести информацию о необходимости закрытия уязвимости. Но:

  • более чем 18% пользователей в мире используют нелицензионные версии Windows,
  • у 23% (почти четверть!) отключен сервис Windows Update,
  • а 6% используют ОС, для которых обновления не выпускаются в принципе.

Conficker (он же Downup, Downadup и Kido) начал свою атаку 21 ноября 2008 года и к январю следующего года поразил 12 миллионов компьютеров по всему миру. Заражения стали возможны благодаря тому, что значительная часть пользователей не установила обновление MS08-067. Думаете, теперь эти обновления установлены у всех? Как бы не так!

В последнее время компьютерная сеть подвергается эпидемии Win32.HLLW.Shadow, он же Conficker

Запрос в техподдержку «Доктор Веб»

Угадайте, в каком году мы получили такой запрос. В 2017!

#обновления_безопасности #безопасность #Trojan.Encoder #троянец #шифровальщик #эксплойт #уязвимость

Dr.Web рекомендует

Недавно мы объявили о мерах, которыми компания «Доктор Веб» принуждает пользователей к правильному применению антивирусной защиты. Эти меры вызвали немало возмущенных откликов от наших пользователей. А зря.

Приведенный пример с Win32.HLLW.Shadow показывает, что призывы не работают. Неужели, чтобы обратить внимание на собственную безопасность, обязательно нужно заразиться?

P.S. Интересно, сколько лет еще будет успешно использоваться DoublePulsar?

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: