После атак WannaCry название инструмента EternalBlue, который группировка The Shadow Brokers ранее опубликовала в открытом доступе, наряду с другим «кибероружием» из арсенала спецслужб, хорошо известно пользователям и специалистам со всего мира. Именно при помощи инструментов EternalBlue и DoublePulsar операторы WannaCry эксплуатировали уязвимости в протоколе SMB и сумели спровоцировать панику такого масштаба.

Разумеется, опубликованным бесплатно инструментарием АНБ заинтересовались не только создатели WannaCry. К примеру, ранее мы уже рассказывали о том, что EternalBlue был обнаружен в составе криптовалютного майнера Adylkuzz, который преимущественно занимается майнингом валюты Monero.

Более того, специалисты компании Proofpoint уверены, что вредоносная кампания Adylkuzz стартовала гораздо раньше WannaCry, как минимум 2 мая 2017 года, а возможно даже в апреле 2017 года. Adylkuzz не привлек к себе так много внимания, как нашумевший шифровальщик, по той простой причине, что заметить заражение в этом случае гораздо сложнее.

Также эксперты сообщали об обнаружении эксплоита в составе червя EternalRocks и шифровальщика Uiwix, а специалисты компании Secdo и вовсе выявили сразу несколько вредоносных кампаний, задействующих нашумевший EternalBlue. По данным специалистов, инструменты спецслужб используют китайские и российские хакерские группы, которые распространяют бэкдоры, делают уязвимые машины частью ботнетов, похищают учетные данные жертв, а также заражают системы шифровальщиком CRY128.

Следовало ожидать появления других угроз, атакующих SMB, поэтому свежее сообщение компании FireEye вряд ли стало для кого-то сюрпризом. Исследователи пишут, что теперь EternalBlue так же взяли на вооружение операторы трояна Nitol (он же Backdoor.Nitol) и малвари Gh0st RAT, которые действуют преимущественно на территории Сингапура и Южной Азии.

«Добавление эксплоита EternalBlue позволяет злоумышленникам с легкостью использовать уязвимости [в SMB]. В ближайшие недели и месяцы мы ожидаем увидеть, что больше атакующих станут эксплуатировать данные уязвимости и распространять при помощи таких заражений различных пейлоады», — пишут специалисты FireEye.

При этом исследователи отмечают, что задачу злоумышленникам существенно облегчает тот факт, что EternalBlue уже добавлен в состав Metasploit в качестве модуля. По мнению специалистов, это существенно «снижает планку», и интегрировать эксплоит в свою малварь могут практически все желающие, достаточно хоть немного понимать язык C.



1 комментарий

  1. Themistocles

    07.06.2017 at 10:02

    Остается только догадываться каков был бы масштаб зараждений если бы не WannaCry. После той истерии которая началась, намного найти организацию в которой не залепили бы дыры.

Оставить мнение