Еще неделю тому назад, вскоре после атак шифровальщика WannaCry, эксперты сообщали, что WannaCry не был первым и единственным. Другая малварь точно так же эксплуатирует брешь в SMB и использует эксплоиты, похищенные у АНБ.  Так, исследователями были обнаружены криптовалютный майнер Adylkuzz, который начал распространяться в апреле 2017 года, а также еще один шифровальщик, Uiwix.

Теперь специалисты предупреждают, что угроз, которые уже взяли на вооружение экплоиты АНБ, насчитывается немало.

Так, аналитики хорватского CERT поймали в одном из своих ханипотов SMB-червя, который получил имя EternalRocks. Равно как и WannaCry, новая угроза эксплуатирует уязвимость в протоколе SMB, но использует для атак сразу семь инструментов АНБ, а не два, как нашумевший шифровальщик. Для проникновения в уязвимые системы червь задействует ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE, ETERNALSYNERGY и DOUBLEPULSAR, а также применяет эксплоиты SMBTOUCH и ARCHITOUCH, которым АНБ пользовалось во время разведывательных операций.

В настоящее время EternalRocks менее опасен, чем WannaCry, так как пока он не распространяет никакую малварь. Но исследователи предупреждают, что это может измениться в любой момент, и червь могут «вооружить» шифровальщиком, банковским трояном, RAT и так далее. Изучавший червя специалист Мирослав Стампар (Miroslav Stampar) пишет, что EternalRocks действует более скрытно, имеет две фазы заражения, отложенный старт, а также использует Tor  для связи с управляющими серверами в даркнете. Более того, у EternalRocks нет никаких механизмов «аварийного отключения», нет никакого «рубильника», который можно было бы задействовать, как это случилось с WannaCry.

Подробную информацию о EternalRocks и анализ червя можно найти в репозитории GitHub, который создал Стампар.

Но EternalRocks – не единственная угроза, распространяющая через SMB. Так, специалисты компании Secdo сообщили об обнаружении сразу нескольких вредоносных кампаний, задействующих эксплоит ETERNALBLUE. Причем данные кампании стартовали на несколько недель раньше WannaCry, еще в апреле 2017 года.

Исследователи пишут, что инструменты спецслужб используют китайские и российские хакерские группы, которые распространяют бэкдоры, делают уязвимые машины частью ботнетов, похищают учетные данные жертв, а также заражают системы шифровальщиком CRY128.

Также об использовании ETERNALBLUE различными хакерскими группами предупреждают и специалисты компаний  Forcepoint и Cyphort. В целом, специалисты сходятся во мнении, что в будущем таких атак будет становиться только больше, и если WannaCry был достаточно примитивной угрозой, с технической точки зрения, то в дальнейшем атаки могут стать гораздо более комплексными и изощренными.

1 комментарий

  1. Themistocles

    26.05.2017 at 20:19

    Это логично. Странно было бы если бы больше никто не использовал

Оставить мнение