Эксперты Microsoft предупредили пользователей о растущей угрозе кибератак на базе уязвимости BlueKeep. Как выяснили специалисты, преступники создали новый эксплойт, который уже применяется для распространения зловредов-криптомайнеров.

Уязвимость BlueKeep (CVE-2019-0708) содержится в сервисе удаленного подключения (Remote Desktop Service, RDS) к Windows 7, Windows Server 2008 и Windows Server 2008 R2. Она позволяет выполнить на компьютере сторонний код и автоматически распространять вредоносное ПО внутри инфраструктуры. Патч к этому багу был опубликован еще в мае, однако, по информации ИБ-аналитиков, количество уязвимых машин по-прежнему исчисляется сотнями тысяч.

О попытках массового использования BlueKeep ранее сообщил независимый исследователь Кевин Бомонт (Kevin Beaumont). В конце октября эксперт заметил серию критических ошибок на ханипотах, которые были созданы специально для привлечения BlueKeep-зловредов. Как выяснилось, сбои спровоцировал новый эксплойт, созданный на базе Metasploit-модуля.

Дальнейшее расследование, к которому подключились специалисты Microsoft и независимый исследователь Маркус Хатчинс (Marcus Hutchins), показало, что злоумышленники пытаются установить на уязвимые компьютеры ПО для добычи криптовалют. Используемый эксплойт работает нестабильно, что и вызывает многочисленные критические ошибки RDS. В то же время эксперты подчеркивают, что не стоит недооценивать возможные успешные атаки, которые остаются за кадром.

Аналитики связали криптоджекерскую кампанию с серией подобных атак в сентябре. Все инциденты объединяет один управляющий сервер. По словам специалистов, преступники экспериментируют со средствами доставки полезной нагрузки, и BlueKeep-эксплойт пополнил арсенал злоумышленников в начале октября.

География новых атак BlueKeep и будущее эксплойта

Значительная часть инцидентов пришлась на Францию (18%), Россию (16%) и Италию (10%). В отличие от предыдущих, полностью автоматизированных кампаний с применением BlueKeep, организаторы октябрьских атак вручную загружали эксплойт на уязвимые компьютеры. Далее зловред выполнял серию PowerShell-скриптов, чтобы развернуть майнер и закрепиться на машине.

Специалисты прогнозируют, что в будущем преступники станут применять новый эксплойт для доставки других типов вредоносного ПО. Эксперты уже нашли способ устранить проблемы, которые вызывали критические ошибки на взломанных компьютерах.

«Пользователям необходимо срочно обновить ПО, обращая особое внимание на RDP-приложения вендоров и прочих сторонних организаций, — подчеркнули исследователи Microsoft. — Такие системы нередко выпадают из поля проверки, и пока пользователи не найдут у себя все подобные программы, преступники смогут использовать BlueKeep, не оставляя очевидных следов в инфраструктуре».

Ранее специалисты Microsoft предупреждали о двух уязвимостях службы удаленных подключений, напоминающих BlueKeep. Эти баги открывают взломщикам полный доступ к компьютеру, позволяя устанавливать и удалять программы, редактировать закрытые данные, создавать новые аккаунты администратора.

Категории: Аналитика, Вредоносные программы, Главное, Уязвимости, Хакеры