Эксплоит, разработанный Агентством национальной безопасности США и утекший в прошлом году, теперь используется хакерами для распространения майнера криптовалюты.
Речь идет об эксплоите EternalBlue для Windows, опубликованном группировкой Shadow Brokers в апреле 2017 года. Не прошло и месяца после публикации, как он использовался для распространения глобальной инфекции WannaCry, а в конце июня EternalBlue помог в распространении вредоносного ПО NotPetya.
Теперь ИБ-эксперты сообщают о новых атаках с использованием эксплоита, получивших название WannaMine. Атаки WannaMine не столь масштабны по сравнению с WannaCry, однако, по словам специалистов CrowdStrike, в некоторых случаях пострадавшие компании не могли работать в течение нескольких дней и даже недель. Кроме того, заражение сложно обнаружить, поскольку вредонос не загружает на инфицированное устройство никаких приложений.
Вредоносное ПО WannaMine, предназначенное для тайного майнинга криптовалюты Monero с использованием мощностей зараженных компьютеров, впервые было обнаружено специалистами Panda Security в октябре 2017 года. На прошлой неделе эксперты CrowdStrike сообщили о том, что за последние несколько месяцев число заражений WannaMine существенно возросло.
Вредонос попадает на систему несколькими путями, в том числе, когда пользователь кликнет на вредоносную ссылку в электронном письме или на web-странице. Попав на систему, вредоносный скрипт использует два легитимных приложения Windows – PowerShell и Windows Management Instrumentation.
Эксплоит EternalBlue не является главным инструментом WannaMine. Сначала вредонос использует утилиту Mimikatz для получения логинов и паролей из памяти компьютера, и только если ему это не удается, прибегает к EternalBlue. Перед вредоносом, вооруженным Mimikatz и EternalBlue, не устоит даже самая обновленная система. Если она не подвержена уязвимости EternalBlue, она все равно может быть скомпрометирована с помощью Mimikatz.