EternalBlue год спустя: по-прежнему в силе и успешен - Новости и Обзоры
интернет-защита
все антивирусы в одном приложении

EternalBlue год спустя: по-прежнему в силе и успешен

Год назад на компьютерах Windows объявился шифровальщик WannaCry, победное шествие которого по Сети быстро приобрело характер эпидемии.

Вспоминая эти печальные события, эксперты с сожалением констатируют: главный двигатель этой вымогательской кампании — эксплойт EternalBlue — актуален как угроза и поныне. Более того, в последнее время его популярность в криминальной среде заметно возросла.

Эксплойт EternalBlue к уязвимости CVE-2017-0144 в SMB-протоколе Windows был опубликован в Интернете в апреле прошлого года. Заплатку для этой бреши нулевого дня Microsoft без особой огласки выпустила месяцем ранее, однако атаки WannaCry показали, что соответствующее обновление (MS17-010) установили далеко не все.

За первые 10 дней этой киберкампании распространяемый с помощью EternalBlue вымогатель поразил около полумиллиона Windows-машин по всему миру. В целом от WannaCry пострадали пользователи из 150 стран; совокупный ущерб от этих атак, по оценке IBM, превысил 8 млрд долларов.

Примеру WannaCry последовал еще более грозный ExPetr/NotPetya — шифровальщик, который на поверку оказался вайпером. EternalBlue также взяли на вооружение распространители банковских троянов (Retefe, TrickBot) и операторы ботнетов, используемых для скрытного майнинга криптовалюты (Adylkuzz, WannaMine, Smominru). Кроме того, данный эксплойт засветился в целевых атаках на гостиничные сети, автором которых предположительно являлась хакерская группировка APT28, также известная как Sofacy и Fancy Bear.

По данным “Лаборатории Касперского”, на которые ссылается Security Week, за год атакам EternalBlue подверглись свыше 2 млн пользователей Интернета. Более того, число таких попыток в прошлом месяце в 10 раз превысило уровень годовой давности. “Хакеры настойчиво атакуют пользователей, используя эксплойт EternalBlue, а значит, многие системы еще не пропатчены, и это может иметь опасные последствия”, — заявил журналистам эксперт “Лаборатории” Антон Иванов.

По наблюдениям ИБ-компании ESET, вскоре после завершения WannaCry-кампании вредоносная активность, связанная с EternalBlue, сильно снизилась, а с сентября вновь начала набирать обороты. К сожалению, парк уязвимых машин, пригодных для эксплойта, все еще велик — это признают не только ИБ-эксперты, но и специалисты в самой Microsoft.

Almost a year after WannaCry and there&&񖔃s still over a million SMB servers without auth exposed to the world. At least it looks like "only" 66k of them are running Windows [🤦&񗜽&񗵲️] [🤦&񗜽&񗵲️]  
(c) Nate Warfield

“После прошлогодней эпидемии WannaCry многие специалисты по ИБ советовали совсем отключить SMBv1, а интернет-доступ к SMBv2 заблокировать, — комментирует Мунир Хахад (Mounir Hahad), руководитель исследований Juniper Networks по компьютерным угрозам. — Прошел год, и мы все еще наблюдаем порядка 2,3 млн устройств, на которых SMBv1 доступен из Интернета. Большинство этих уязвимых машин находятся в ОАЭ, США, России, Японии и на Тайване”.

Сообщество Вконткте
обзоры антивирусов и программ безопасности
Комментарии и отзывы
Добавляя комментарий, ознакомьтесь с Правилами сообщества
Система Orphus