WannaCryptor nu a fost primul care a folosit EternalBlue: “Exploatatorii” l-au utilizat în mod abuziv după breșa de la Shadow Brokers


Campania masivă ce a răspândit ransomware-ul WannaCryptor (cunoscut și sub numele de WannaCry) nu a fost singura infectare la scară largă care a făcut abuz de exploit-urile EternalBlue și DoublePulsar, puse în circulație de Shadow Brokers.

Același mecanism a fost utilizat de către hackerii de tip black hat încă de la sfârșitul lunii aprilie, când au optat pentru software-ul de exploatare criptocurrency off-the-shelf Monero în loc de payload-ul de criptare.

Această campanie, detectată ca Win32/CoinMiner.AFR și Win32/CoinMiner.AFU, a început la numai câteva zile după ce instrumentele NSA au fos puse în circulație în mediul online. ESET a avut detectări de rețea pentru vulnerabilitatea respectivă pe 25 aprilie - cu doar trei zile înainte de primele încercări de atac ale acestor infractori cibernetici.

Cea mai mare creștere graduală a fost înregistrată cu numai câteva ore înainte de lansarea ransomware-ului la nivel mondial, pe 10 mai. În acea zi, detectările malware de exploatare au crescut de la sute la mii de detectări pe zi. Am văzut astfel de tentative în 118 țări, Rusia, Taiwan și Ucraina fiind în topul listei.

WannaCry

Cu toate acestea, software-ul de exploatare a consumat atât de intens resursele sistemului, încât, în unele cazuri, a făcut ca mașinile infectate să nu mai răspundă la comenzile utilizatorilor.

Atacurile de mining au blocat, de asemenea, portul 445 folosit de exploit-ul EternalBlue pentru a obține accesul pe dispozitiv, închizând practic ușa pentru orice infectare viitoare, utilizând același vector - inclusiv WannaCryptor. În cazul în care "minerii" nu ar fi luat această măsură de precauție, numărul de infectări cu WannaCryptor ar fi putut fi chiar mai mare decât a fost raportat.

Prin urmare, cât de rău a fost atacul WannaCryptor?

Conform sistemelor ESET, doar de vinerea atacului, peste 14.000 de utilizatori din cei care au activat ESET LiveGrid® au raportat până la 66.000 de încercări de atac cu WannaCryptor pe dispozitivele lor.

Atacurile principale au vizat, în principal, computerele din Rusia, cu peste 30.000 de atacuri, urmate de Ucraina și Taiwan, unde în ambele cazuri , cifra s-a apropiat de 8000 de persoane.

Pie chart of ESET WannaCry Detections (top countries)

Haosul care a urmat după lansarea globală a lui WannaCryptor pare să fi motivat și alți hackeri de tip black hat să își mărească eforturile. A fost identificată o creștere semnificativă a numărului de e-mail-uri malițioase trimise de operatorii populari Nemucod, ce răspândesc un alt program ransomware: Filecoder.FV.
WannaCry

Creșterea numărului de detectări JS / Danger.ScriptAttachment (operatori Nemucod) după lansarea WannaCryptor

De asemenea, au apărut ediții false ale WannaCryptor, încercând să profite de faima sa, folosind același GUI și același aspect. Cu toate acestea, capacitatea de criptare lipsea în toate instanțele văzute.

Ce ar trebui să faceți pentru vă menține în siguranță?

  1. Exploit-ul EternalBlue folosește o vulnerabilitate în Windows pentru care au fost emise deja patch-uri de la Microsoft; primul lucru ar fi actualizarea și efectuarea de patch-uri pentru sistemului de operare.
  2. Utilizați o soluție de securitate fiabilă, cu mai multe straturi de securitate pentru a vă proteja de amenințări similare și în viitor.
  3. Cea mai sigutră practică este să păstrați copii de rezervă pe un hard disk extern sau pe o locație ce nu va poate fi afectată în cazul unei infecții de rețea.
  4. Se recomandă ca utilizatorii afectați să nu plătească răscumpărarea - fie în cazul adevăratului WannaCryptor, fie în cazul oricărui alt program de răscumpărare. Nu s-au raportat situații în care un astfel de pas ar duce la decriptare. Dimpotrivă, au existat mai multe povestiri documentând insuccesul - nu a fost trimis nici un decryptor sau o cheie după efectuarea plății. De asemenea, nu pare a fi posibil ca atacatorii să poată să asocieze plata din portofelele BitCoin partajate cu victima respectivă.

Pentru mai multe informații despre WannaCryptor, aka WannaCry, și despre atacul ransomware, consultați acest articol, care răspunde la câteva întrebări-cheie.

oana May 23, 2017

Lasa un comentariu