Майнер WannaMine стал приемником вируса WannaCry


Оглавление (нажмите, чтобы открыть):

Приготовьтесь к нашествию вирусов-майнеров. Они уже появились и атакуют

На основе эксплойта EternalBlue, который использовался в нашумевшем вирусе WannaCry, создан новый зловред — WannaMine. Этот вирус проникает на компьютер и полностью загружает процессор, скрытно добывая хакерам криптовалюту Monero.

WannaMine может попасть на устройство разными способами: через установочный файл, уязвимости в браузере или операционной системе, прямой атакой на память. Он использует инструмент Mimikatz для получения логина и пароля от учётной записи администратора на компьютере, а если это не удалось, прибегает к эксплойту EternalBlue, который был создан по заказу Агентства национальной безопасности США, но просочился в сеть и стал доступен публично. В том случае, если компьютер подключен к локальной или корпоративной сети, вирус постарается заразить все компьютеры, с которыми удастся установить связь.

WannaMine снижает полезную производительность компьютеров, но хуже всего то, что постоянно находящиеся под стопроцентной нагрузкой компьютеры начинают работать нестабильно и могут сломаться. Антивирусные решения не справляются с поиском WannaMine и не могут лечить компьютеры от заражения этим вирусом. Таким образом, WannaMine может долгое время оставаться незамеченным и даже в случае обнаружения от него будет не так просто избавиться — потребуется создавать резервную копию ценных файлов, форматировать накопитель и заново устанавливать операционную систему и программы.

Вирус WannaCry был ориентирован на компьютеры, установленные в крупных компаниях, и зацепил устройства в 150 странах мира, нанеся ущерб размеров в несколько сотен миллионов долларов. Он вёл себя гораздо более агрессивно: шифровал файлы, блокировал доступ к системе и вымогал деньги за расшифровку данных. В ловушку вируса попались компьютеры, администраторы которых не обновляли операционную систему.

WannaMine на первый взгляд кажется более безопасным вирусом, чем WannaCry, но хакеры, вероятно, надеются, что благодаря скрытности он получит более широкое распространение и принесёт им гораздо более высокий доход. WannaMine, как и WannaCry основан на эксплойте Eternal Blue, который использует уязвимость Windows в реализации протокола SMB. Эта уязвимость была известна ещё в начале 2020 года и уже была закрыта патчами безопасности, хотя по-прежнему присутствует на компьютерах со старыми версиями Windows и актуальными, но недостаточно обновлёнными версиями этой ОС.

Самый верный способ защититься от майнинговых вирусов — своевременно обновлять операционную систему, не переходить по подозрительным ссылкам, не ходить по сомнительным сайтам и либо не отключать встроенный антивирус, либо установить стороннее антивирусное решение.

Тайный майнер криптовалюты — новый преемник вируса WannaCry

WannaMine — зловред, пришедший на смену WannaCry. Этот вирус перегружает процессор, приводя к возможному системному отключению из-за тайной добычи криптовалюты. Журналисты узнали, в чём опасность этого скрытого майнера, а также почему всё ещё не найдено универсальной защиты от эксплойта под названием EternalBlue.

EternalBlue ранее принадлежал американскому АНБ (Агентству национальной безопасности США). Сейчас он является общественным достоянием, но всё ещё не прекратил вносить в мир полный хаос. Именно он в прошлом году стал основой WannaCry — глобального вируса, поразившего компьютерные системы пользователей полторы сотни стран. Сейчас им вновь воспользовались, чтобы получить денежную выгоду. WannaMine, новенький вирус, также базирующийся на EternalBlue, тайком майнит с ПК криптовалюту. Брайан Йорк, директор по продуктам в компании CrowdStrike, также отметил, что ранее EternalBlue киберпреступники применяли лишь на государственном уровне. Отныне он распространяется шире, появляясь в вирусах обычных хакеров.

Пользуясь компьютерным червем, данный вирус втихую майнит криптовалюту Monero. Эта валюта добывается на мощностях рядовой видеокарты. Дорогое оборудование привлекать не требуется. Пользователь, по всей вероятности, и не увидит заражения системы ПК. Ведь в её работе практически ничего не изменится. Лишь немного замедлится скорость, с которой обрабатывается информация.

WannaMine умеет заражать ПК различными способами: начиная с кликания по вредоносным ссылкам и заканчивая таргетированным проникновением в ОС в удалённом режиме. Сперва зловред получает доступ к хранящимся в компьютерной памяти логинам с паролями – при помощи инструмента под названием Mimikatz. Если это орудие не справляется, на выручку ему спешит другое — EternalBlue. Показательно, что EternalBlue и Mimikatz используются одновременно. Ведь заразить таким образом можно любую ОС, даже если она защищена актуальнейшим патчем. Если же компьютер входит в корпоративную сеть, WannaMine, воспользовавшись выкраденной информацией, заразит и прочие ПК.

Казалось бы, WannaMine — менее агрессивный вариант WannaCry, своего предшественника. Ведь он не блокирует пользовательские компьютеры с требованиями выкупа в биткоинах. Однако своей деятельностью он может вызвать перезагрузку корпоративной сети, что грозит серьёзными потерями для компаний. Как подчеркнул Брайан Йорк, массовый криптовалютный майнинг в одной фирме способен блокировать её работу на дни и даже недели.

Как говорят эксперты, количество ПК, которые заразились WannaMine, по-прежнему растёт. Отследить вирус довольно тяжело. Ведь после проникновения им не устанавливаются на пользовательский ПК никакие зловредные приложения. Вирусом применяются лишь самые обычные инструменты, легко находимые в глубине Windows.


По словам Йорка вымогатели WannaCry хотя бы предоставляли пострадавшим выбор: расплачиваться или нет (в этом случае вся пользовательская информация стиралась). WannaMine же позволяет хакерам зарабатывать, эксплуатируя мощности ПК своей жертвы до тех пор, пока компьютер заражен. Он полагает, что далее мы много раз будем сталкиваться с возрастающей изощренностью криптовзломщиков.

Таким образом вырисовывается новое направление в киберпреступности, когда тайно добывать криптовалюту через зараженный ПК более выгодно, нежели требовать выкуп.

Павел Луцик, руководящий в КРОК проектами по инфобезопасности, поведал журналистам, что EternalBlue проникает в целевые ОС, пользуясь уязвимостью реализованного для Windows протокола SMB. Знали о ней ещё год назад. Как отметил специалист, пример WannaCry — весьма действенный и наглядный. Много людей, задумавшись о проблеме безопасности, предприняли адекватные меры. Среди прочего они установили в операционку подходящие патчи. Однако новая атака WannaMine продемонстрировала, что для понимания, каким дорогим может оказаться незнание простейших азов информационной безопасности, только «граблей» явно не хватит.

На смену вирусу-вымогателю WannaCry пришел вирус-майнер WannaMine

На смену знаменитому вирусу WannaCry пришел вирус WannaMine также созданный на основе EternalBlue. Попасть на компьютер вирус может разными способами: начиная от клика по вредоносной ссылке и до удаленного проникновения в систему.

Для получения доступа к логинам и паролям в памяти компьютера вирус использует инструмент Mimikatz, если этого оказывается недостаточно, то в дело вступает EternalBlue. Если зараженный компьютер является частью корпоративной сети, то вирус очень быстро заразит и остальные компьютеры, что может парализовать работу компании на несколько дней или даже недель.

«Раньше EternalBlue использовался только хакерами государственного уровня, однако теперь вирусы на базе этого инструмента можно встретить у обычных киберпреступников», — рассказал директор агенства по информационной безопасности CrowdStrike, Брайан Йорк (Bryan York).

В 2020 во всемирной сети бушевал вирус WannaCry, который поразил компьютеры в 150 странах, общий ущерб от действий этого вируса оценивается в 1 миллиард долларов.

Мастер Йода рекомендует:  Скажи Javascript, нажат ли Caps Lock Javascript

WannaMine кажется на первый взгляд менее агрессивной версией. Вирус не блокирует данные, требуя выкуп. Вместо этого на компьютере жертвы включается скрытый майнинг, который приводит к повышенной загрузке пользовательского оборудования.

Наблюдения экспертов в области киберпреступлений, проводимые с 2020 года, позволяют сделать выводы о том, что идет смена тенденций перехода злоумышленников от мощных атак с помощью вирусов-вымогателей к долгосрочному скрытому майнингу.

Вирусы-майнеры получили широкое распространение только к концу 2020 года. Чаще всего такие вредоносные программы добывают Monero или ZCash, так как эти монеты все еще выгодно добывать при помощи центрального процессора. Это значительно расширяет область действия вируса, так как жертвами могут стать владельцы практически любых компьютеров.

Вирус-преемник WannaCry тайно майнит криптовалюту

На смену вирусу WannaCry пришел майнер WannaMine — этот зловред тайно добывает криптовалюту, перегружая процессор жертвы, что приводит к полному отключению системы. «Газета.Ru» выясняла, чем опасен новый вирус, и почему от эксплойта EternalBlue до сих пор нет универсального спасательного средства.

На смену вирусу WannaCry пришел майнер WannaMine — этот зловред тайно добывает криптовалюту, перегружая процессор жертвы, что приводит к полному отключению системы. «Газета.Ru» выясняла, чем опасен новый вирус, и почему от эксплойта EternalBlue до сих пор нет универсального спасательного средства.


Эксплойт EternalBlue, ранее принадлежавший Агентству национальной безопасности (АНБ) США, а теперь ставший достоянием общественности, продолжает вносить хаос в современный мир.

В 2020 году именно он лег в основу глобального вируса WannaCry, поразившего 150 стран мира, и теперь его снова использовали для получения финансовой выгоды — новый зловред WannaMine на базе EternalBlue тайно майнит криптовалюту с компьютеров.

Трудно найти и невозможно забыть

Этот вирус использует компьютерного червя для скрытого майнинга криптовалюты Monero, которую можно добывать с помощью мощностей обычной видеокарты, не прибегая к дорогостоящему оборудованию.

Обычный пользователь, скорее всего, не заметит, что система заражена, так как в ее работе почти ничего не поменяется — за исключением небольшого замедления скорости обработки информации.

WannaMine может заразить компьютер разными способами — от клика по вредоносной ссылке до таргетированного удаленного проникновения в систему. Сначала вирус использует инструмент Mimikatz для получения доступа к логинам и паролям в памяти компьютера. Если Mimikatz не удается справиться с задачей, то на помощь приходит EternalBlue.

Использование Mimikatz и EternalBlue одновременно является показательным, так как таким образом заразиться может абсолютно любая система, в том числе защищенная актуальным патчем.

В случае, если компьютер является частью корпоративной сети, например, находится в офисе, WannaMine с помощью украденных данных заразит и остальные компьютеры.

«Если раньше EternalBlue использовался только хакерами государственного уровня, теперь он становится более распространенным и появляется в вирусах обычных киберпреступников», — сообщил директор по продуктам CrowdStrike Брайан Йорк в интервью Motherboard.

WannaMine на первый взгляд кажется менее агрессивной версией своего «старшего брата» WannaCry, так как не блокирует компьютеры пользователя, требуя выкуп. Тем не менее, вирус может перегрузить корпоративную сеть, из-за чего компании теряют выгоду.

Йорк подчеркнул, что массовый майнинг криптовалюты в рамках одной компании может остановить ее работу на «несколько дней или даже недель».

Эксперты отмечают, что количество зараженных WannaMine компьютеров продолжает расти. Его достаточно сложно отследить, так как он не устанавливает никакие вредоносные приложения на компьютер жертвы после проникновения. Этот зловред использует только стандартные инструменты, которые можно найти в недрах ОС Windows.

Вирусы-вымогатели оставляют людям выбор — платить или не платить, рассуждает Брайан Йорк. В случае с WannaMine, пока хакеры имеют доступ к системе жертвы, они продолжают зарабатывать на ней.

«Я считаю, в будущем мы еще не раз столкнемся с растущей изощренностью криптохакеров», — добавил эксперт.


Майнеры в моде

В 2020 году хакерская группировка Shadow Brokers выложила в открытый доступ эксплойт EternalBlue, с помощью которого была совершена одна из крупнейших кибератак в истории — с применением вируса WannaCry. Он блокировал компьютеры жертв и требовал выкуп в биткоинах, угрожая в противном случае удалить все личные данные пользователя.

Спустя некоторое время в мире появился другой вирус, затронувший сразу несколько стран — его назвали NotPetya, а в его основе тоже лежал EternalBlue. Тогда эксперты по информбезопасности предупредили о том, что этот эксплойт вскоре освоит множество хакеров разных уровней, а значит кибератаки будут повторяться с завидной частотой.

Тенденция такова, что на смену программам-вымогателям приходит вредоносное ПО вроде WannaMine с возможностью майнинга криптовалюты, считает специалист по исследованию вредоносного ПО Avast Ладислав Зезула.

«Учитывая, что оба типа угроз нацелены на финансовую выгоду, можно предположить, что добыча криптовалюты прибыльнее, чем выкуп, и майнеры набирают популярность», — сообщил Зезула.

Это уже не первый криптомайнер, который использует уязвимость EternalBlue. В прошлом году, вскоре после WannaCry, появился Adylkuzz — майнер криптовалюты, заражавший компьютеры по всему миру. Пока пользователи не установят необходимые патчи, EternalBlue и другие уязвимости будут легким путем для проникновения злоумышленников.

Руководитель проектов по информационной безопасности КРОК Павел Луцик сообщил «Газете.Ru», что для проникновения в целевые системы эксплойт Eternal Blue использует уязвимость в Windows-реализации протокола SMB, которая была известна еще в начале 2020 года.

«Пример с WannaCry оказался очень показательным и действенным: многие озаботились вопросом безопасности и приняли ряд соответствующих мер, в том числе установив необходимые патчи на ОС. Но, как показала новая атака WannaMine, одних ‘граблей’ недостаточно, чтобы понять, что игнорирование элементарных основ информационной безопасности может дорого обойтись», — заключил Луцик.

На те же грабли: преемник WannaCry заражает тайно

На смену вирусу WannaCry пришел майнер WannaMine — этот зловред тайно добывает криптовалюту, перегружая процессор жертвы, что приводит к полному отключению системы. «Газета.Ru» выясняла, чем опасен новый вирус и почему от эксплойта EternalBlue до сих пор нет универсального спасательного средства.

Эксплойт EternalBlue, ранее принадлежащий Агентству национальной безопасности (АНБ) США, а теперь ставший достоянием общественности, продолжает вносить хаос в современный мир.

В 2020 году именно он лег в основу глобального вируса WannaCry, поразившего 150 стран мира, и теперь его снова использовали для получения финансовой выгоды — новый зловред WannaMine на базе EternalBlue тайно майнит криптовалюту с компьютеров.

Трудно найти и невозможно забыть

Этот вирус использует компьютерного червя для скрытого майнинга криптовалюты Monero, которую можно добывать с помощью мощностей обычной видеокарты, не прибегая к дорогостоящему оборудованию.


Обычный пользователь, скорее всего, не заметит, что система заражена, так как в ее работе почти ничего не поменяется — за исключением небольшого замедления скорости обработки информации.

WannaMine может заразить компьютер разными способами — от клика по вредоносной ссылке до таргетированного удаленного проникновения в систему. Сначала вирус использует инструмент Mimikatz для получения доступа к логинам и паролям в памяти компьютера. Если Mimikatz не удается справиться с задачей, то на помощь приходит EternalBlue.

Использование Mimikatz и EternalBlue одновременно является показательным, так как таким образом заразиться может абсолютно любая система, в том числе защищенная актуальным патчем.

В случае, если компьютер является частью корпоративной сети, например, находится в офисе, WannaMine с помощью украденных данных заразит и остальные компьютеры.

Мастер Йода рекомендует:  Пользовательская настройка панели администрирования WordPress Форма входа

«Если раньше EternalBlue использовался только хакерами государственного уровня, теперь он становится более распространенным и появляется в вирусах обычных киберпреступников», — сообщил директор по продуктам CrowdStrike Брайан Йорк в интервью Motherboard.

WannaMine на первый взгляд кажется менее агрессивной версией своего «старшего брата» WannaCry, так как не блокирует компьютеры пользователя, требуя выкуп. Тем не менее, вирус может перегрузить корпоративную сеть, из-за чего компании теряют выгоду.

Йорк подчеркнул, что массовый майнинг криптовалюты в рамках одной компании может остановить ее работу на «несколько дней или даже недель».

Эксперты отмечают, что количество зараженных WannaMine компьютеров продолжает расти. Его достаточно сложно отследить, так как он не устанавливает никакие вредоносные приложения на компьютер жертвы после проникновения. Этот зловред использует только стандартные инструменты, которые можно найти в недрах ОС Windows.

Вирусы-вымогателиь оставляют людям выбор — платить или не платить, рассуждает Брайан Йорк. В случае с WannaMine, пока хакеры имеют доступ к системе жертвы, они продолжают зарабатывать на ней.

«Я считаю, в будущем мы еще не раз столкнемся с растущей изощренностью криптохакеров», — добавил эксперт.

Майнеры в моде

В 2020 году хакерская группировка Shadow Brokers выложила в открытый доступ эксплойт EternalBlue, с помощью которого была совершена одна из крупнейших кибератак в истории — с применением вируса WannaCry. Он блокировал компьютеры жертв и требовал выкуп с биткоинах, угрожая в противном случае удалить все личные данные пользователя.

Спустя некоторое время в мире появился другой вирус, затронувший сразу несколько стран — его назвали NotPetya, а в его основе тоже лежал EternalBlue. Тогда эксперты по информбезопасности предупредили о том, что этот эксплойт вскоре освоит множество хакеров разных уровней, а значит кибератаки будут повторяться с завидной частотой.

Тенденция такова, что на смену программам-вымогателей приходит вредоносное ПО вроде WannaMine с возможностью майнинга криптовалюты, считает специалист по исследованию вредоносного ПО Avast Ладислав Зезула.


«Учитывая, что оба типа угроз нацелены на финансовую выгоду, можно предположить, что добыча криптовалюты прибыльнее, чем выкуп, и майнеры набирают популярность», — сообщил Зезула.

Это уже не первый криптомайнер, который использует уязвимость EternalBlue. В прошлом году, вскоре после WannaCry, появился Adylkuzz — майнер криптовалюты, заражавший компьютеры по всему миру. Пока пользователи не установят необходимые патчи, EternalBlue и другие уязвимости будут легким путем для проникновения злоумышленников.

Руководитель проектов по информационной безопасности КРОК Павел Луцик сообщил «Газете.Ru», что для проникновения в целевые системы эксплойт Eternal Blue использует уязвимость в Windows-реализации протокола SMB, которая была известна еще в начале 2020 года.

«Пример с WannaCry оказался очень показательным и действенным: многие озаботились вопросом безопасности и приняли ряд соответствующих мер, в том числе установив необходимые патчи на ОС. Но, как показала новая атака WannaMine, одних «граблей» недостаточно, чтобы понять, что игнорирование элементарных основ информационной безопасности может дорого обойтись», — заключил Луцик.

Android-Robot

Новости науки и техники

Поделиться

Вы здесь: Главная Интернет Blockchain Найден майнер WannaMine — новый преемник нашумевшего WannaCry

Найден майнер WannaMine — новый преемник нашумевшего WannaCry

Вредоносная программа была создана на базе эксплойта EternalBlue, который до этого принадлежал американскому Агентству государственной безопасноти, а сейчас доступен безусловно всем.

Найден новый вирус WannaMine, пришедший на замену нашумевшему WannaCry.

Напомним, в 2020 г. эксплойт EternalBlue стал основой глобального вируса WannaCry, поразившего 150 стран мира.

Наблюдения знатоков в области киберпреступлений, проводимые с 2020 года, позволяют сделать выводы о том, что идет смена тенденций перехода правонарушителей от мощных атак при помощи вирусов-вымогателей к длительному скрытому майнингу. Вначале вирус использует инструмент Mimikatz для получения доступа к логинам и паролям в памяти компьютера. Вирус распространяется через поддельные установочные файлы, уязвимости в браузере и ОС, а кроме этого посредством целенаправленных атак.

Вирус WannaMine представляет из себя червя, который скрытно майнит криптовалюту Monero, которую добывают с помощью мощностей обыкновенной видеокарты, без использования дорогостоящего оборудования. Ежели взломать систему не выходит, вирус задействует пресловутый эксплойт.


WannaMine на 1-ый взгляд кажется наименее агрессивной версией своего старшего брата WannaCry, так как не блокирует компьютеры пользователя, требуя выкуп.

Кроме того, что новый вирус нелегально майнит, он безумно понижает работоспособность техники. Рядовой пользователь даже не заменит, что его компьютер заражен, так как это будет проявляться только в незначительном замедлении скорости обработки информации.

На смену вирусу WannaCry пришел майнер WannaMine

Эксплойт EternalBlue, в свое время похищенный у Агентства национальной безопасности США, продолжает использоваться злоумышленниками в качестве компонента вредоносного ПО. Новый вирус WannaMine, созданный на базе EternalBlue, тайно майнит криптовалюту на компьютерах жертв.

WannaMine может заразить компьютер разными способами – от клика по вредоносной ссылке, до прицельного удаленного проникновения в систему. Сначала вирус использует инструмент Mimikatz для получения доступа к логинам и паролям в памяти компьютера. Если Mimikatz не удается справиться с задачей, то на помощь приходит EternalBlue.

В случае если компьютер является частью корпоративной сети, например, находится в офисе, WannaMine с помощью украденных данных заразит и остальные компьютеры, что может парализовать работу компании на несколько дней или даже недель.

Брайан Йорк (Bryan York), директор агенства безопасности CrowdStrike:

«Если раньше EternalBlue использовался только хакерами государственного уровня, теперь он становится более распространенным и появляется в вирусах обычных киберпреступников».

Напомним, в 2020 году эксплойт EternalBlue лег в основу глобального вируса WannaCry, поразившего 150 стран мира. За это время его создатели заработали в общей сумме около $140 тысяч в биткоинах, а общий ущерб от атаки был оценен в $1 миллиард.

WannaMine на первый взгляд кажется менее агрессивной версией своего старшего брата WannaCry, так как не блокирует компьютеры пользователя, требуя выкуп. Однако скрытый майнинг ведет к перегрузке процессоров и выходу из сторя пользовательского оборудования.

Наблюдения экспертов компании Recorded Future, проводимые с мая 2020 года, позволяют сделать вывод о тенденции перехода злоумышленников от мощных атак с помощью вирусов-вымогателей к долгосрочному скрытому майнингу.

Наибольшую популярность скрытые майнеры приобрели среди киберпреступников только во второй половине 2020 года. Чаще всего майнят Monero и Zcash, для добычи которых можно использовать мощности центрального, а не графического процессора. Таким образом жертвами злоумышленников могут стать владельцы практически любых компьютеров.

Пoжaлyйcтa оцените и поделитесь новостью, мы старались для Вас:

Вредонос WannaMine скрыто добывает Monero и использует эксплоты АНБ


Xakep #246. Учиться, учиться, учиться!

ИБ-специалисты бьют тревогу: уже свыше 526 000 устройств по всему миру (преимущественно Windows-серверы) стали жертвами нового ботнета, который добывает криптовалюту Monero при помощи зараженных хостов.

Данную вредоносную кампанию впервые заметили еще в конце прошлого года, и к настоящему моменту свои отчеты об угрозе опубликовали аналитики компаний GuardiCore, Trend Micro, «Лаборатории Касперского», Panda Security и CrowdStrike. Также на этой неделе появились более свежие отчеты Qihoo 360 NetLab (ботнет носит имя MyKings) и Proofpoint (ботнет назван Smominru).

Общая картина происходящего выглядит весьма скверно. По данным исследователей, в настоящее время ботнет насчитывает более 520 000 машин, и его операторы уже «заработали» 8900 Monero (порядка 2 млн долларов по текущему курсу).

Название WannaMine, которое присвоили угрозе специалисты компании CrowdStrike, разумеется, не случайно. Дело в том, что для распространения малварь использует эксплоиты EternalBlue (CVE-2020-0144) и EsteemAudit (CVE-2020-0176), направленные против уязвимых Windows-машин. Названия этих эксплоитов хорошо знакомы не только ИБ-специалистам, но даже рядовым пользователям, так как именно EternalBlue весной 2020 года применялся для распространения нашумевшего шифровальщика WannaCry.

Напомню, что еще летом 2020 года группа хакеров, называющих себя The Shadow Brokers, сумела похитить хакерский инструментарий у специалистов АНБ. Долгое время хакеры тщетно пытались продать попавшее в их руки «кибероружие», но им не удалось провести аукцион или найти прямого покупателя, после чего, в апреле 2020 года, группировка опубликовала украденные данные совершенно бесплатно, в открытом доступе.

Мастер Йода рекомендует:  Радужная визуализация алгоритмов сортировки

Именно этими готовыми инструментами из арсенала АНБ (а точнее эксплоитами EternalBlue и DoublePulsar) и воспользовались создатели WannaCry, превратив заурядного с технической точки зрения шифровальщика в SMB-червя, о котором несколько недель говорил весь мир.

Теперь такую же тактику используют операторы огромного майнингового ботнета, хотя кампания так же распространяется на MySQL-серверы и Linux-машины. Кроме того, специалисты компаний GuardiCore и NetLab отмечают, что помимо майнеров на пострадавшие устройства устанавливают различную дополнительную малварь, от бэкдоров, до различных версий Mirai. Впрочем, добыча криптовалюты определенно является основной целью неизвестных преступников.

Судя по опубликованной специалистами статистике, основная масса пострадавших устройств находится в России, Индии, Бразилии, Украине и на Тайване. Но тогда как аналитики Proofpoint предполагают, что размер ботнета равен примерно 500 0000 зараженных устройств, эксперты NetLab заявляют, что на самом деле WannaMine может насчитывать уже более миллиона машин.

Специалисты Proofpoint отмечают, что в настоящее время новая угроза как минимум в два раза превосходит конкурирующий ботнет Adylkuzz, который был обнаружен еще весной 2020 года, тоже эксплуатирует бреши в SMB (причем операторы Adylkuzz приняли эту тактику на вооружение еще до эпидемии WannaCry) и майнит криптовалюту.

Напомню, что еще в марте 2020 года компания Microsoft исправила уязвимости, который используют похищенные у АНБ инструменты, а также подготовила патчи для устаревших, более неподдерживаемых ОС, включая Windows XP, Windows 8 и Windows Server 2003.

На смену вирусу WannaCry пришел майнер WannaMine

Эксплойт EternalBlue, в свое время похищенный у Агентства национальной безопасности США, продолжает использоваться злоумышленниками в качестве компонента вредоносного ПО. Новый вирус WannaMine, созданный на базе EternalBlue, тайно майнит криптовалюту на компьютерах жертв.

WannaMine может заразить компьютер разными способами – от клика по вредоносной ссылке, до прицельного удаленного проникновения в систему. Сначала вирус использует инструмент Mimikatz для получения доступа к логинам и паролям в памяти компьютера. Если Mimikatz не удается справиться с задачей, то на помощь приходит EternalBlue.


В случае если компьютер является частью корпоративной сети, например, находится в офисе, WannaMine с помощью украденных данных заразит и остальные компьютеры, что может парализовать работу компании на несколько дней или даже недель.

Брайан Йорк (Bryan York), директор агенства безопасности CrowdStrike:

«Если раньше EternalBlue использовался только хакерами государственного уровня, теперь он становится более распространенным и появляется в вирусах обычных киберпреступников».

Напомним, в 2020 году эксплойт EternalBlue лег в основу глобального вируса WannaCry, поразившего 150 стран мира. За это время его создатели заработали в общей сумме около $140 тысяч в биткоинах, а общий ущерб от атаки был оценен в $1 миллиард.

Майнер WannaMine стал приемником вируса WannaCry

На смену вирусу WannaCry пришел майнер WannaMine — этот зловред тайно добывает криптовалюту, перегружая процессор жертвы, что приводит к полному отключению системы. Чем опасен новый вирус и почему от эксплойта EternalBlue до сих пор нет универсального спасательного средства.

Эксплойт EternalBlue, ранее принадлежащий Агентству национальной безопасности (АНБ) США, а теперь ставший достоянием общественности, продолжает вносить хаос в современный мир.

В 2020 году именно он лег в основу глобального вируса WannaCry, поразившего 150 стран мира, и теперь его снова использовали для получения финансовой выгоды — новый зловред WannaMine на базе EternalBlue тайно майнит криптовалюту с компьютеров.

Трудно найти и невозможно забыть

Этот вирус использует компьютерного червя для скрытого майнинга криптовалюты Monero, которую можно добывать с помощью мощностей обычной видеокарты, не прибегая к дорогостоящему оборудованию.

Обычный пользователь, скорее всего, не заметит, что система заражена, так как в ее работе почти ничего не поменяется — за исключением небольшого замедления скорости обработки информации.

WannaMine может заразить компьютер разными способами — от клика по вредоносной ссылке до таргетированного удаленного проникновения в систему. Сначала вирус использует инструмент Mimikatz для получения доступа к логинам и паролям в памяти компьютера. Если Mimikatz не удается справиться с задачей, то на помощь приходит EternalBlue.

Использование Mimikatz и EternalBlue одновременно является показательным, так как таким образом заразиться может абсолютно любая система, в том числе защищенная актуальным патчем.

В случае, если компьютер является частью корпоративной сети, например, находится в офисе, WannaMine с помощью украденных данных заразит и остальные компьютеры.


«Если раньше EternalBlue использовался только хакерами государственного уровня, теперь он становится более распространенным и появляется в вирусах обычных киберпреступников», — сообщил директор по продуктам CrowdStrike Брайан Йорк в интервью Motherboard.

WannaMine на первый взгляд кажется менее агрессивной версией своего «старшего брата» WannaCry, так как не блокирует компьютеры пользователя, требуя выкуп. Тем не менее, вирус может перегрузить корпоративную сеть, из-за чего компании теряют выгоду.

Йорк подчеркнул, что массовый майнинг криптовалюты в рамках одной компании может остановить ее работу на «несколько дней или даже недель».

Эксперты отмечают, что количество зараженных WannaMine компьютеров продолжает расти. Его достаточно сложно отследить, так как он не устанавливает никакие вредоносные приложения на компьютер жертвы после проникновения. Этот зловред использует только стандартные инструменты, которые можно найти в недрах ОС Windows.

Вирусы-вымогателиь оставляют людям выбор — платить или не платить, рассуждает Брайан Йорк. В случае с WannaMine, пока хакеры имеют доступ к системе жертвы, они продолжают зарабатывать на ней.

«Я считаю, в будущем мы еще не раз столкнемся с растущей изощренностью криптохакеров», — добавил эксперт.

Майнеры в моде

В 2020 году хакерская группировка Shadow Brokers выложила в открытый доступ эксплойт EternalBlue, с помощью которого была совершена одна из крупнейших кибератак в истории — с применением вируса WannaCry. Он блокировал компьютеры жертв и требовал выкуп с биткоинах, угрожая в противном случае удалить все личные данные пользователя.

Спустя некоторое время в мире появился другой вирус, затронувший сразу несколько стран — его назвали NotPetya, а в его основе тоже лежал EternalBlue. Тогда эксперты по информбезопасности предупредили о том, что этот эксплойт вскоре освоит множество хакеров разных уровней, а значит кибератаки будут повторяться с завидной частотой.

Тенденция такова, что на смену программам-вымогателей приходит вредоносное ПО вроде WannaMine с возможностью майнинга криптовалюты, считает специалист по исследованию вредоносного ПО Avast Ладислав Зезула.

«Учитывая, что оба типа угроз нацелены на финансовую выгоду, можно предположить, что добыча криптовалюты прибыльнее, чем выкуп, и майнеры набирают популярность», — сообщил Зезула.

Это уже не первый криптомайнер, который использует уязвимость EternalBlue. В прошлом году, вскоре после WannaCry, появился Adylkuzz — майнер криптовалюты, заражавший компьютеры по всему миру. Пока пользователи не установят необходимые патчи, EternalBlue и другие уязвимости будут легким путем для проникновения злоумышленников.

Руководитель проектов по информационной безопасности КРОК Павел Луцик сообщил, что для проникновения в целевые системы эксплойт Eternal Blue использует уязвимость в Windows-реализации протокола SMB, которая была известна еще в начале 2020 года.

«Пример с WannaCry оказался очень показательным и действенным: многие озаботились вопросом безопасности и приняли ряд соответствующих мер, в том числе установив необходимые патчи на ОС. Но, как показала новая атака WannaMine, одних «граблей» недостаточно, чтобы понять, что игнорирование элементарных основ информационной безопасности может дорого обойтись», — заключил Луцик.

Добавить комментарий