Прошло два года после впечатляющего дебюта WannaCry, однако шифровальщик до сих пор присутствует на многих устройствах, сохраняя способность распространяться по сети и подвергая жертв риску других вредоносных атак. За полгода исследователи из компании Armis насчитали 145 тыс. зараженных устройств в 103 странах.

Распространение WannaCry осуществляется с помощью эксплойта EternalBlue к уязвимости CVE-2017-0144 в широко используемой SMB-службе Windows. Из-за этой особенности зловред, несмотря на доступность патча, за короткий срок сумел поразить полмиллиона машин в 150 странах. По некоторым оценкам, эпидемия обошлась жертвам в 8 млрд долларов.

Дальнейшее шествие WannaCry по просторам Интернета было приостановлено с помощью kill switch — заданного в коде зловреда домена-выключателя, который участникам ИБ-сообщества удалось зарегистрировать и обеспечить надежной защитой от DDoS-атак. При обращении к этому «рубильнику» резидентный вымогатель прекращает свою активность. Такой способ сдерживания работает только в применении к первоначальной версии WannaCry — со временем его авторы обновили код и продолжили вредоносную деятельность, хотя и не в прежнем объеме. Живой пример тому — прошлогодняя атака на тайваньского производителя полупроводников TSMC, когда под удар попали сразу несколько предприятий компании.

Активность шифровальщика провоцирует отсутствие патча к CVE-2017-0144 на местах; согласно статистике «Лаборатории Касперского», в III квартале на долю WannaCry пришлось около трети всех атак программ-вымогателей.

Исследование, проведенное в Armis, показало, что зловред продолжает сохранять свое присутствие и даже пытается расселяться на 60% промышленных предприятий и в 40% медицинских учреждений, а также в сетях розничной торговли. В этих сферах, по словам экспертов, используется специализированное оборудование со встроенной Windows, которое сложно обновлять, а апгрейд выливается в накладные простои.

«Подобные системы зачастую поставляются в готовой конфигурации, и заказчик опасается что-либо менять, дабы не нарушить рабочие процессы», — пояснил в комментарии для Dark Reading Бен Сери (Ben Seri), вице-президент Armis по исследовательской работе.

Основным средством подсчета зараженных устройств являлись серверы-ловушки, на которых регистрировались источники вредоносного трафика. Исследователи также попытались учесть и устройства, размещенные за роутерами. Дополнительно проверялся DNS-трафик на предмет обращений к домену kill switch. Отслеживание таких запросов проводилось на более чем 10 тыс. DNS-серверов в 120 странах.

На основании полученных данных эксперты пришли к выводу, что уязвимые системы до сих пор заражает первоначальная версия шифровальщика (запрашивающая kill switch). Среди стран по количеству атак WannaCry лидируют США, Вьетнам и Турция — в каждой эксперты еженедельно фиксировали свыше 100 тыс. обращений к домену-выключателю. Россия заняла в этом списке 8-е место с показателем 50 тыс. Интересно, что на долю скромного Вьетнама пришлось более 10% атак вымогателя: интернет-провайдеры этой страны блокируют попытки соединения с kill switch, и инфекция там распространяется быстро.

Категории: Аналитика, Вредоносные программы, Главное, Уязвимости