WannaMine — злoврeд, пришeдший нa смeну WannaCry. Этoт вирус пeрeгружaeт прoцeссoр, привoдя к вoзмoжнoму систeмнoму oтключeнию из-зa тaйнoй дoбычи криптoвaлюты. Журнaлисты узнaли, в чём oпaснoсть этoгo скрытoгo мaйнeрa, a тaкжe пoчeму всё eщё нe найдено универсальной защиты от эксплойта под названием EternalBlue.
EternalBlue ранее принадлежал американскому АНБ (Агентству национальной безопасности США). Сейчас он является общественным достоянием, но всё ещё не прекратил вносить в мир полный хаос. Именно он в прошлом году стал основой WannaCry — глобального вируса, поразившего компьютерные системы пользователей полторы сотни стран. Сейчас им вновь воспользовались, чтобы получить денежную выгоду. WannaMine, новенький вирус, также базирующийся на EternalBlue, тайком майнит с ПК криптовалюту. Брайан Йорк, директор по продуктам в компании CrowdStrike, также отметил, что ранее EternalBlue киберпреступники применяли лишь на государственном уровне. Отныне он распространяется шире, появляясь в вирусах обычных хакеров.
Пользуясь компьютерным червем, данный вирус втихую майнит криптовалюту Monero. Эта валюта добывается на мощностях рядовой видеокарты. Дорогое оборудование привлекать не требуется. Пользователь, по всей вероятности, и не увидит заражения системы ПК. Ведь в её работе практически ничего не изменится. Лишь немного замедлится скорость, с которой обрабатывается информация.
WannaMine умеет заражать ПК различными способами: начиная с кликания по вредоносным ссылкам и заканчивая таргетированным проникновением в ОС в удалённом режиме. Сперва зловред получает доступ к хранящимся в компьютерной памяти логинам с паролями – при помощи инструмента под названием Mimikatz. Если это орудие не справляется, на выручку ему спешит другое — EternalBlue. Показательно, что EternalBlue и Mimikatz используются одновременно. Ведь заразить таким образом можно любую ОС, даже если она защищена актуальнейшим патчем. Если же компьютер входит в корпоративную сеть, WannaMine, воспользовавшись выкраденной информацией, заразит и прочие ПК.
Казалось бы, WannaMine — менее агрессивный вариант WannaCry, своего предшественника. Ведь он не блокирует пользовательские компьютеры с требованиями выкупа в биткоинах. Однако своей деятельностью он может вызвать перезагрузку корпоративной сети, что грозит серьёзными потерями для компаний. Как подчеркнул Брайан Йорк, массовый криптовалютный майнинг в одной фирме способен блокировать её работу на дни и даже недели.
Как говорят эксперты, количество ПК, которые заразились WannaMine, по-прежнему растёт. Отследить вирус довольно тяжело. Ведь после проникновения им не устанавливаются на пользовательский ПК никакие зловредные приложения. Вирусом применяются лишь самые обычные инструменты, легко находимые в глубине Windows.
По словам Йорка вымогатели WannaCry хотя бы предоставляли пострадавшим выбор: расплачиваться или нет (в этом случае вся пользовательская информация стиралась). WannaMine же позволяет хакерам зарабатывать, эксплуатируя мощности ПК своей жертвы до тех пор, пока компьютер заражен. Он полагает, что далее мы много раз будем сталкиваться с возрастающей изощренностью криптовзломщиков.
Таким образом вырисовывается новое направление в киберпреступности, когда тайно добывать криптовалюту через зараженный ПК более выгодно, нежели требовать выкуп.
Павел Луцик, руководящий в КРОК проектами по инфобезопасности, поведал журналистам, что EternalBlue проникает в целевые ОС, пользуясь уязвимостью реализованного для Windows протокола SMB. Знали о ней ещё год назад. Как отметил специалист, пример WannaCry — весьма действенный и наглядный. Много людей, задумавшись о проблеме безопасности, предприняли адекватные меры. Среди прочего они установили в операционку подходящие патчи. Однако новая атака WannaMine продемонстрировала, что для понимания, каким дорогим может оказаться незнание простейших азов информационной безопасности, только «граблей» явно не хватит.
Источник: gazeta.ru