После атак WannaCry название инструмента EternalBlue, который группировка The Shadow Brokers ранее опубликовала в открытом доступе, наряду с другим «кибероружием» из арсенала спецслужб, хорошо известно пользователям и специалистам со всего мира. Именно при помощи инструментов EternalBlue и DoublePulsar операторы WannaCry эксплуатировали уязвимости в протоколе SMB и сумели спровоцировать панику такого масштаба.
Разумеется, опубликованным бесплатно инструментарием АНБ заинтересовались не только создатели WannaCry. К примеру, ранее мы уже рассказывали о том, что EternalBlue был обнаружен в составе криптовалютного майнера Adylkuzz, который преимущественно занимается майнингом валюты Monero.
Более того, специалисты компании Proofpoint уверены, что вредоносная кампания Adylkuzz стартовала гораздо раньше WannaCry, как минимум 2 мая 2017 года, а возможно даже в апреле 2017 года. Adylkuzz не привлек к себе так много внимания, как нашумевший шифровальщик, по той простой причине, что заметить заражение в этом случае гораздо сложнее.
Также эксперты сообщали об обнаружении эксплоита в составе червя EternalRocks и шифровальщика Uiwix, а специалисты компании Secdo и вовсе выявили сразу несколько вредоносных кампаний, задействующих нашумевший EternalBlue. По данным специалистов, инструменты спецслужб используют китайские и российские хакерские группы, которые распространяют бэкдоры, делают уязвимые машины частью ботнетов, похищают учетные данные жертв, а также заражают системы шифровальщиком CRY128.
Следовало ожидать появления других угроз, атакующих SMB, поэтому свежее сообщение компании FireEye вряд ли стало для кого-то сюрпризом. Исследователи пишут, что теперь EternalBlue так же взяли на вооружение операторы трояна Nitol (он же Backdoor.Nitol) и малвари Gh0st RAT, которые действуют преимущественно на территории Сингапура и Южной Азии.
«Добавление эксплоита EternalBlue позволяет злоумышленникам с легкостью использовать уязвимости [в SMB]. В ближайшие недели и месяцы мы ожидаем увидеть, что больше атакующих станут эксплуатировать данные уязвимости и распространять при помощи таких заражений различных пейлоады», — пишут специалисты FireEye.
При этом исследователи отмечают, что задачу злоумышленникам существенно облегчает тот факт, что EternalBlue уже добавлен в состав Metasploit в качестве модуля. По мнению специалистов, это существенно «снижает планку», и интегрировать эксплоит в свою малварь могут практически все желающие, достаточно хоть немного понимать язык C.
