74 страны захлестнула волна атак с использованием вымогателя WannaCry
Атака осуществляется путем эксплуатации уязвимости в SMBv2 с помощью инструмента EternalBlue. Данный эксплоит из арсенала Equation Group (хакерской группировки, связываемой с Агентством национальной безопасности США) в прошлом месяце был опубликован в интернете киберпреступниками из The Shadow Brokers. Сама уязвимость была исправлена компанией Microsoft 14 марта текущего года. К сожалению, многие организации до сих пор не установили обновление и по-прежнему остаются уязвимыми.
В общей сложности 12 мая эксперты ЛК зафиксировали порядка 45 тыс. атак с применением WannaCry в 74 странах мира. Наибольшее число атак пришлось на Россию, затем с большим отрывом следуют Украина, Индия и Тайвань. Как отмечают эксперты, реальное количество атак может превышать указанные цифры.
Инфицировав систему, WannaCry шифрует файлы и отображает уведомление с требованием уплатить $600 в биткойнах за их восстановление. Примечательно, первые платежи на указанный биткойн-кошелек составляли $300, а значит, злоумышленники увеличили размер выкупа. Аналитики Group-IB отмечают у вымогательской программы WannaCry четыре основные особенности:
1) Она использует эксплоит ETERNALBLUE, который был выложен в открытый доступ хакерами Shadow Brokers, а ранее использовался Агентством национальной безопасности США (АНБ). Патч, закрывающий эту уязвимость, для ОС Windows Vista и старше стал доступен 9 марта в составе бюллетеня MS17-010. При этом патча для старых ОС вроде Windows XP и Windows server 2003 не будет - они выведены из-под поддержки; 2) помимо шифрования файлов, она осуществляет сканирование сети на предмет уязвимых хостов и распространяется на все непатченные машины. Вирус работает не по конкретным целям, а ищет незащищенные устройства – отсюда и лавинообразный характер заражений; 3) файлы шифруются не все, а избирательно – вирус выбирает наиболее "чувствительные", т.е. документы, базы данных, почту; 4) для подключения к командным серверам она устанавливает браузер TOR, через который и осуществляется соединение.
Источник: http://www.securitylab.ru/news/486124.php
Автор: admin от 15.05.2017 | | Оценка |
Вы не можете комментировать!