Год назад на компьютерах Windows объявился шифровальщик WannaCry, победное шествие которого по Сети быстро приобрело характер эпидемии. Вспоминая эти печальные события, эксперты с сожалением констатируют: главный двигатель этой вымогательской кампании — эксплойт EternalBlue — актуален как угроза и поныне. Более того, в последнее время его популярность в криминальной среде заметно возросла.

Эксплойт EternalBlue к уязвимости CVE-2017-0144 в SMB-протоколе Windows был опубликован в Интернете в апреле прошлого года. Заплатку для этой бреши нулевого дня Microsoft без особой огласки выпустила месяцем ранее, однако атаки WannaCry показали, что соответствующее обновление (MS17-010) установили далеко не все.

За первые 10 дней этой киберкампании распространяемый с помощью EternalBlue вымогатель поразил около полумиллиона Windows-машин по всему миру. В целом от WannaCry пострадали пользователи из 150 стран; совокупный ущерб от этих атак, по оценке IBM, превысил 8 млрд долларов.

Примеру WannaCry последовал еще более грозный ExPetr/NotPetya — шифровальщик, который на поверку оказался вайпером. EternalBlue также взяли на вооружение распространители банковских троянов (Retefe, TrickBot) и операторы ботнетов, используемых для скрытного майнинга криптовалюты (Adylkuzz, WannaMine, Smominru). Кроме того, данный эксплойт засветился в целевых атаках на гостиничные сети, автором которых предположительно являлась хакерская группировка APT28, также известная как Sofacy и Fancy Bear.

По данным «Лаборатории Касперского», на которые ссылается Security Week, за год атакам EternalBlue подверглись свыше 2 млн пользователей Интернета. Более того, число таких попыток в прошлом месяце в 10 раз превысило уровень годовой давности. «Хакеры настойчиво атакуют пользователей, используя эксплойт EternalBlue, а значит, многие системы еще не пропатчены, и это может иметь опасные последствия», — заявил журналистам эксперт «Лаборатории» Антон Иванов.

По наблюдениям ИБ-компании ESET, вскоре после завершения WannaCry-кампании вредоносная активность, связанная с EternalBlue, сильно снизилась, а с сентября вновь начала набирать обороты. К сожалению, парк уязвимых машин, пригодных для эксплойта, все еще велик — это признают не только ИБ-эксперты, но и специалисты в самой Microsoft.

«После прошлогодней эпидемии WannaCry многие специалисты по ИБ советовали совсем отключить SMBv1, а интернет-доступ к SMBv2 заблокировать, — комментирует Мунир Хахад (Mounir Hahad), руководитель исследований Juniper Networks по компьютерным угрозам. — Прошел год, и мы все еще наблюдаем порядка 2,3 млн устройств, на которых SMBv1 доступен из Интернета. Большинство этих уязвимых машин находятся в ОАЭ, США, России, Японии и на Тайване».

Категории: Аналитика, Вредоносные программы, Главное