Программа-вымогатель WannaCry стала крупнейшей цифровой угрозой в мире за последние годы, поразив десятки тысяч компьютеров пользователей. Программа детектируется продуктами ESET как Win32/Filecoder.WannaCryptor.D и обладает характеристиками сетевого червя, благодаря которым угроза может заражать другие устройства сети.
На устройство жертвы вредоносная программа проникает благодаря использованию эксплойта eternalblue, который позволяет осуществлять самовоспроизведение WannaCry, а, следовательно, обеспечивает быстрое распространение угрозы. Эксплойт использует уязвимости в устаревших (Windows XP, Windows 8.0, Windows Server 2003), а также других версиях операционной системы Windows, в которых не было применено исправление MS17-010.
Считается, что разработчиком данного эксплойта является Агентство национальной безопасности. В результате утечки данных EternalBlue и ряд других киберинструментов попали в руки группы Shadow Brokers. Группа безуспешно пыталась выставить их на аукцион, однако из-за неприбыльности дела Shadow Brokers решила продавать инструменты АНБ отдельно.
14 марта 2017 года компания Microsoft исправила критические уязвимости SMB, выпустив MS17-010. Почти через месяц группа Shadow Brokers загрузила много похищенных инструментов в сеть Интернет. Попал в общий доступ и эксплойт EternalBlue.
Заблокированные продуктами ESET попытки проникновения експлойта EternalBlue
12 мая 2017 года EternalBlue стал важным компонентом массовой атаки WannaCry. В этот момент все элементы были в руках злоумышленников: эксплойт EternalBlue и вымогатель WannaCryptor (также известный как WannaCry), который был активен с начала апреля.
Однако домашние и корпоративные пользователи могут избежать заражения несколькими способами. Как известно, исправление для уязвимости стало доступно за два месяца до атаки. Хотя оно и не касается процедур шифрования вымогателей, исправление блокирует распространения угрозы в сети через инфицированные хосты. Кроме того, активные средства защиты, установленные на хосте, например, защита от эксплойтов или обновленная защита от вредоносных программ способны блокировать попытки заражения и остановить атаку во время проникновения угрозы в сеть.
В конце концов, необходим контроль над входными и выходными данными хостов в сети. Во время массовых атак многие компании, опасаясь того, что их компьютеры под угрозой, решили выключить компьютеры и отправить сотрудников домой. Однако для уменьшения риска заражения необходимо было просто изолировать хосты в сетях, это позволило бы избежать столь радикальных действий.
В пятницу вечером появились новости об остановке распространения вредоносной программы. Программист @MalwareTech заметил, что угроза, прежде чем перейти к шифрованию, делала HTTP запрос, который должен потерпеть неудачу. Поскольку домен был предварительно незарегистрирован, все запросы терпели неудачу, что начинало шифрование файлов. Однако после регистрации домена для запросов программисту @MalwareTech удалось перенаправить запросы на существующие серверы с ответами и остановить распространение первой версии вредоносной программы.
Следующие версии не заставили себя долго ждать. Новые образцы угрозы исправили предыдущий домен путем перезаписи бинарных данных первой версии (с использованием таких инструментов, как HEXEdit).
В настоящее время доходы киберпреступников достигли чуть более $ 50 000, что по сравнению с убытками, причиненными в результате распространения угрозы, небольшая сумма. Данная атака еще раз доказала тот факт, что использование уязвимостей (не обязательно «0-дневных») является довольно рискованным и может иметь огромное влияние на работу бизнеса.
Скорость реагирования киберпреступников показывает, что борьба с вредоносными программами — задача не из легких. Угрозы быстро распространяются и оперативно адаптируются для продолжения распространения. После такой успешной атаки стоит ожидать копирования инструментов и методологии, а также следует готовиться к более сложным атакам, особенно в ближайшем будущем.
В частности, специалисты ESET полагают, что в долгосрочной перспективе увеличится количество вредоносных программ, подобных по характеристикам к червям, а в ближайшее время можно ожидать роста активности вредоносных программ с использованием эксплойта EternalBlue.
В связи с возможной опасностью следует применить необходимые исправления для данной уязвимости. Для локальной проверки наличия исправлений специалисты ESET разработали простой скрипт, который извлекает из системы список установленных обновлений и ищет те, которые закрывают уязвимости.
Скрипт прост в использовании: сначала необходимо запустить скрипт, подождать около минуты, пока скрипт использует WMCI для выбора списка установленных обновлений, и, наконец, получить обновления уязвимости EternalBlue.
Таким образом, лучшей мерой защиты от проникновения эксплойта EternalBlue на компьютеры является применение соответствующего исправления. Кроме этого, специалисты ESET рекомендуют установить надежное антивирусное программное обеспечение, которое сможет остановить угрозу и предотвратить заражение, а также настроить систему резервного копирования важной информации, которая в случае шифрования вредоносной программой поможет восстановить все данные.