Миналата година отново изправи пред различни опасности в Интернет пътешествениците в Мрежата. Станахме свидетели на първата голяма атака с IoT устройства, за чието идване алармираха с години специалисти по информационна сигурност. Заедно с обичайните вируси, троянски коне, фишинг и измамнически кампании, рансъмуер заплахи и друг тип зловредни програми, за пръв път обикновените потребители бяха атакувани с кибероръжие, на които досега ставаха жертви само отделни държавни организации, големи компании и критични обекти, като този в Натанц, Иран. Изтеклият обаче архив с киберарсенала на американските шпиони позволи създаването на безпрецедентна по рода си кампания в лицето на WannaCry. Именно с WannaCry и два негови събратя е свързан един от акцентите в доклада на антивирусната компания „Доктор Уеб“ за заплахите в Интернет през миналата година. Става дума отново за прецедент: обединението на рансъмуер заплаха с интернет червей.

Както знаете, стандартния вектор за атака с рансъмуер вирус е чрез изпращането на писмо с прикачен файл, в който присъства или самата заплаха или скрипт, който при изпълнението му се сваля главния модул на криптовируса и системата бива компрометирана, т.е. до появата на Wannacry, потребителят трябваше да извърши действие, за да стане жертва на вируса. Но именно с кампанията на Wannacry това се промени. Авторите на атаките (за които САЩ обвиниха Северна Корея) се възползваха от известна на американските шпиони дупка в мрежовия протокол SMB и създадени специално за експлоатирането ѝ инструменти. Любопитно е това, че Microsoft издаде обновление, адресиращо проблемите в SMB, свързани с възможността за отдалечено изпълнение на код по-малко от две седмици преди атаката (обновление, адресиращо проблеми със SMB беше издадено и през пролетта). Десетки хиляди остарели системи обаче останаха уязвими, а множество други пострадаха заради ненавременната реакция на администратори и собственици на системите, неналожили обновлението. След навлизането си в мрежата, Wannacry, модулен зловред, в който рансумуер функционалността е само част от възможностите му, както и пишат „Доктор Уеб“, започва да сканира за уязвими системи и ги атакува. Последва атаката с NotPetya, тръгнала от територията на Украйна. Още една зловредна програма, използваща дупката в SMB, способна да се репликира, с разрушителни характеристики, целящи унищожение и кражба на данни.

За успеха му, както и свидетелстват от руската компания, спомага и скрита функционалност в M.E.Doc, програмата с чието обновление дойде и NotPetya. „Специалистите от „Доктор Уеб“ подробно изследваха програмата и установиха, че един от компонентите ѝ съдържа скрита функционалност, която може да събира данни за вписване в пощенски сървъри, да сваля и изпълнява случайни програми на системата, както и да изпраща информация към сървър. Целта на NotPetya се оказа киберсаботаж, като шифрованите данни са невъзстановими, а освен това програмата презаписва MBR сектора на диска и го пренася в друг сектор. За да дойде октомври, а с него и още един кодиращ данните червей – BadRabbit. Той отново се оказа модулна заплаха, като част от кода му съвпада с този на NotPetya, а разпространението му се осъществява посредством фалшиво обновление за Adobe Flash Player.

ДОБАВИ КОМЕНТАР

avatar
  Абонирай се  
Извести ме за