Години наред слушахме за сложни кибершпионски APT (Advanced Persistent Threat)атаки с уникални зловредни програми и техники, които си оставаха запазени за държавните хакери, но с публикуването на архив с инструменти на Агенцията за национална сигурност на САЩ (АНС) през миналата година, това се промени. Използвайки два такива инструмента, WannaCry засегна системи в 150 държави. Възползващ се от дупка в SMB протокола (която Microsoft при подозрителни обстоятелства запушиха месец преди това), рансъмуер заплахата атакува с успех хиляди системи по целия свят, за да ни покаже за пореден път реалната картина на уязвимостта ни в Интернет. На основата на EternalBlue (и EternalSynergy) впоследствие се появиха няколко други зловредни програми, които макар и да не успяха да се доближат до ефекта на Wannacry, направиха достатъчно поразии, като сред тях без съмнение се отличаваше NotPetya, разруштелна програма, целяща унищожение и саботаж.

Тази седмица разбираме за появата на нова зловредна програма на основата на един от експлойтите на АНС. Подобно на WannaCry, WannaMine притежава функционалностите на саморепликиращ се червей (за което помага използването на EternalBlue), само че вместо да доставя рансъмуер, програмата доставя копач на Monero, което е отражение на последните наблюдения на специалисти, че престъпниците заменят рансъмуера с криптокопачи. Зловредната програма, която набавя на авторите си Monero, използва достатъчно сложни техники за устойчиво присъствие в системата – с помощта на Windows Management Instrumentation (WMI), има безфайлова природа (използва PowerShell за първоначално разпространение), което прави трудно WannaMine да бъде блокиран ефективно, отбелязват Crowdstrike.

Програмата използва Mimikatz, за да събира легитимни кредитиви, които използва след това за последващо разпространение в мрежата. Ако не успее тук, то тя използва EternalBlue. Под атаките ѝ попадат всички версии на Windows от Windows 2000 нататък.

От Sophos, на свой ред отбелязват, че е много вероятно WannaMine да започне да доставя и друг тип зловреди, което е практика на подобни атаки. Криптокопачът съвсем не е безопасен за машината, особено, ако става дума за преносим компютър, тъй като, ако бъде оставен да действа в продължение на няколко часа, може да извади машината извън строя.


Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook, и ни последвайте в Telegram и Viber или изтеглете приложението на Kaldata.com за Android, iOS и Huawei!

Подобни новиниОще от този автор

Абонирай се
Извести ме за
guest

0 Коментара
Отзиви
Всички коментари