lans.by

Эксплоит АНБ используется для заражения систем криптомайнером

Эксплоит, разработанный Агентством национальной безопасности США и утекший в прошлом году, теперь используется хакерами для распространения майнера криптовалюты.

Речь идет об эксплоите EternalBlue для Windows, опубликованном группировкой Shadow Brokers в апреле 2017 года. Не прошло и месяца после публикации, как он использовался для распространения глобальной инфекции WannaCry, а в конце июня EternalBlue помог в распространении вредоносного ПО NotPetya.

Теперь ИБ-эксперты сообщают о новых атаках с использованием эксплоита, получивших название WannaMine. Атаки WannaMine не столь масштабны по сравнению с WannaCry, однако, по словам специалистов CrowdStrike, в некоторых случаях пострадавшие компании не могли работать в течение нескольких дней и даже недель. Кроме того, заражение сложно обнаружить, поскольку вредонос не загружает на инфицированное устройство никаких приложений.

Вредоносное ПО WannaMine, предназначенное для тайного майнинга криптовалюты Monero с использованием мощностей зараженных компьютеров, впервые было обнаружено специалистами Panda Security в октябре 2017 года. На прошлой неделе эксперты CrowdStrike сообщили о том, что за последние несколько месяцев число заражений WannaMine существенно возросло.

Вредонос попадает на систему несколькими путями, в том числе, когда пользователь кликнет на вредоносную ссылку в электронном письме или на web-странице. Попав на систему, вредоносный скрипт использует два легитимных приложения Windows – PowerShell и Windows Management Instrumentation.

Эксплоит EternalBlue не является главным инструментом WannaMine. Сначала вредонос использует утилиту Mimikatz для получения логинов и паролей из памяти компьютера, и только если ему это не удается, прибегает к EternalBlue. Перед вредоносом, вооруженным Mimikatz и EternalBlue, не устоит даже самая обновленная система. Если она не подвержена уязвимости EternalBlue, она все равно может быть скомпрометирована с помощью Mimikatz.

Источник

Leave a Reply

Your email address will not be published. Required fields are marked *