Еще неделю тому назад, вскоре после атак шифровальщика WannaCry, эксперты сообщали, что WannaCry не был первым и единственным. Другая малварь точно так же эксплуатирует брешь в SMB и использует эксплоиты, похищенные у АНБ.  Так, исследователями были обнаружены криптовалютный майнер Adylkuzz, который начал распространяться в апреле 2017 года, а также еще один шифровальщик, Uiwix.

Теперь специалисты предупреждают, что угроз, которые уже взяли на вооружение экплоиты АНБ, насчитывается немало.

Так, аналитики хорватского CERT поймали в одном из своих ханипотов SMB-червя, который получил имя EternalRocks. Равно как и WannaCry, новая угроза эксплуатирует уязвимость в протоколе SMB, но использует для атак сразу семь инструментов АНБ, а не два, как нашумевший шифровальщик. Для проникновения в уязвимые системы червь задействует ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE, ETERNALSYNERGY и DOUBLEPULSAR, а также применяет эксплоиты SMBTOUCH и ARCHITOUCH, которым АНБ пользовалось во время разведывательных операций.

В настоящее время EternalRocks менее опасен, чем WannaCry, так как пока он не распространяет никакую малварь. Но исследователи предупреждают, что это может измениться в любой момент, и червь могут «вооружить» шифровальщиком, банковским трояном, RAT и так далее. Изучавший червя специалист Мирослав Стампар (Miroslav Stampar) пишет, что EternalRocks действует более скрытно, имеет две фазы заражения, отложенный старт, а также использует Tor  для связи с управляющими серверами в даркнете. Более того, у EternalRocks нет никаких механизмов «аварийного отключения», нет никакого «рубильника», который можно было бы задействовать, как это случилось с WannaCry.

Подробную информацию о EternalRocks и анализ червя можно найти в репозитории GitHub, который создал Стампар.

Но EternalRocks – не единственная угроза, распространяющая через SMB. Так, специалисты компании Secdo сообщили об обнаружении сразу нескольких вредоносных кампаний, задействующих эксплоит ETERNALBLUE. Причем данные кампании стартовали на несколько недель раньше WannaCry, еще в апреле 2017 года.

Исследователи пишут, что инструменты спецслужб используют китайские и российские хакерские группы, которые распространяют бэкдоры, делают уязвимые машины частью ботнетов, похищают учетные данные жертв, а также заражают системы шифровальщиком CRY128.

Также об использовании ETERNALBLUE различными хакерскими группами предупреждают и специалисты компаний  Forcepoint и Cyphort. В целом, специалисты сходятся во мнении, что в будущем таких атак будет становиться только больше, и если WannaCry был достаточно примитивной угрозой, с технической точки зрения, то в дальнейшем атаки могут стать гораздо более комплексными и изощренными.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии