Рік тому програма-вимагач WannaCryptor.D (також відома як WannaCry та WCrypt) спричинила одні з найбільших руйнівних наслідків у цифровому світі. І хоча сама загроза вже не становить великої небезпеки, експлойт EternalBlue, який спричинив спалах, як і раніше, загрожує системам без належного захисту та застосованих виправлень. За даними телеметрії ESET, його поширеність протягом останніх декількох місяців зростає, а нещодавно рівень розповсюдження загрози перевершив найвищі показники 2017 року.
EternalBlue використовує уразливість (у Microsoft Security Bulletin MS17-010) реалізації протоколу Server Message Block (SMB) у застарілій версії Microsoft. У результаті атаки кіберзлочинці сканують мережу Інтернет на наявність відкритих портів SMB, а виявивши їх, запускають код експлойту. У разі наявності уразливості зловмисники запускають вибраний під жертву компонент. Саме за допомогою цього механізму рік тому через мережу розповсюджувалася загроза WannaCryptor.D.
Відповідно до даних телеметрії ESET, протягом наступних місяців після піку поширення WannaCryptor кількість спроб використати експлойт EternalBlue зменшилася до сотні щодня. Однак з вересня минулого року використання загрози почало повільно зростати, досягнувши нових високих показників у середині квітня 2018 року.
Виявлення EternalBlue протягом 2017-2018 років відповідно до ESETLiveGrid®
Варто зазначити, що метод проникнення EternalBlue на комп’ютери користувачів не є успішним на пристроях із захистом ESET. Один із декількох рівнів захисту – модуль Захисту мережі від атак – блокує цю загрозу на початковому етапі. Це підтвердилося під час поширення WannaCryptor 12 травня 2017 року, а також всіх попередніх та наступних атаках кіберзлочинців.
Нагадаємо, експлойт EternalBlue використовувався у багатьох високопрофільних кібератаках. Крім WannaCryptor, експлойт також застосовувався під час атаки Diskcoder.C (також відома як Petya, NotPetya і ExPetya) в червні 2017 року, а також програми-вимагача BadRabbit в 4-му кварталі 2017 року. EternalBlue також використовувався групою кіберзлочинців Sednit (також відома як APT28, Fancy Bear і Sofacy ) для атак мереж Wi-Fi в європейських готелях.
Крім цього, експлойт став одним із механізмів розповсюдження шкідливих програм для майнінгу криптовалют. А зовсім нещодавно EternalBlue був використаний для розповсюдження програми-вимагача Satan.
Нагадаємо, експлойт EternalBlue нібито було викрадено з Агентства національної безпеки (NSA), ймовірно, у 2016 році. У мережу Інтернет загроза потрапила 14 квітня 2017 року завдяки групі Shadow Brokers. Компанія Microsoft опублікувала оновлення, що фіксують уразливість SMB 14 березня 2017 року, але до цього часу в реальному середовищі є безліч машин без застосованих виправлень.
Цей експлойт та всі атаки з його використанням показують важливість своєчасного застосування виправлень, а також потребу у надійному та багаторівневому рішенні для захисту, яке може заблокувати цей та інші шкідливі інструменти.