Компанія ESET — лідер у галузі інформаційної безпеки — попереджає про високу активність вже відомої програми-вимагача WannaCryptor (також відома як WannaCry або WCrypt) в 1 кварталі 2020 року.
Наймасштабніша атака WannaCry відбулася у травні 2017 року і спричинила глобальний хаос в комп'ютерних системах у всьому світі. Загроза поширювалася через експлойт EternalBlue, який був спрямований на критичну уразливість в ОС Microsoft, а саме в реалізації застарілої версії протоколу Server Message Block (SMB). Під час такої атаки кіберзлочинці сканували мережу на наявність комп'ютерів з незахищеним портом SMB, після чого запускали код експлойта для будь-яких виявлених уразливих пристроїв, а після цього завантажували шкідливий компонент, наприклад програму-вимагач WannaCryptor.D.
Як змінився рівень поширення WannaCry у 2020 році?
Через три роки WannaCry як і раніше залишається найактивнішою загрозою серед програм-вимагачів. За результатами дослідження ESET, в 1 кварталі 2020 року 40,5% виявлень програм-вимагачів припадає на WannaCry. Такий високий показник насторожує, враховуючи, що пройшло майже три роки з моменту найбільшого спалаху. За даними ESET, на початку 2020 року WannaCry була спрямована на користувачів Туреччини, Таїланду та Індонезії через велику кількість уразливих пристроїв в цих регіонах.
Топ-10 найпоширеніших програм-вимагачів, виявлених за січень-квітень 2020 року
Тенденції використання експлойта EternalBlue
Для здійснення атаки WannaCry зловмисники використовували відомий експлойт EternalBlue. Варто зазначити, що кількість спроб атак з використанням цього експлойта зменшувалась протягом всього 1 кварталу 2020 року. Незважаючи на це, експлойт залишається актуальною загрозою навіть через три роки після WannaCry.
За даними Shodan, сьогодні нараховується близько мільйона комп'ютерів Windows з протоколом SMBv1, які підключені до Інтернет-мережі та схильні до атак з використанням експлойта EternalBlue.
Порівняно з минулим роком відбулися деякі зміни у розташуванні більшості уразливих пристроїв. У той час як Сполучені Штати як і раніше продовжують лідирувати за кількістю виявлених уразливих пристроїв, Росія обігнала Японію і зайняла друге місце. Найцікавішим прикладом є Південна Африка, яка в минулому році була відсутня у списку, а тепер посіла четверте місце.
EternalBlue найбільш відомий за причетність до атаки програмою-вимагачем WannaCry, хоча це далеко не єдина масштабна атака з використанням даного експлойта. Зокрема EternalBlue також використовувався в 2017 році під час атаки Diskcoder.C (Petya, NotPetya і ExPetya) та програми-вимагача BadRabbit, яка була націлена на мережу Wi-Fi одного з готелів.
Чи стала атака WannaCry корисним уроком для користувачів?
Багато спеціалістів з кібербезпеки стверджують, що спалах WannaCry можна було б уникнути або вчасно зупинити, якби користувачі у всьому світі виконали необхідні заходи з безпеки. Microsoft повідомила про цю уразливість та випустила критичне оновлення для системи безпеки в рамках типового оновлення за 59 днів до початку глобальної атаки.
Крім того, компанія Redmond зазначала ще у 2013 році, що перша версія протоколу SMBv1, якій вже понад тридцять років, застаріла і її слід більше не використовувати. І навіть якщо виправлення не були встановлені, деякі базові налаштування безпеки пристрою могли б запобігти проникненню WannaCry.
Більшість експертів кібербезпеки вважало, що глобальний спалах WannaCry буде цінним уроком для користувачів мережі, однак, це не так. Зокрема в середині минулого року було виявлено уразливість BlueKeep у службах віддаленого робочого столу (RDP), яка може стати новим вектором атак. Відразу ж після виявлення уразливості більшість технологічних компаній повідомило користувачів та рекомендувало адміністраторам підприємств якомога швидше виправляти недолік. Проте, вже через декілька місяців були зафіксовані перші атаки.
Варто зазначити, що після виявлення даної уразливості компанія ESET в минулому році випустила безкоштовний інструмент для перевірки несанкціонованого використання BlueKeep (CVE-2019-0708) на комп’ютерах Windows.
Як бачимо, через три роки більшість людей все одно недооцінює значення виправлень уразливостей своїх комп'ютерних систем та дотримання основних правил з безпеки. Спеціалісти ESET настійно рекомендують регулярно оновлювати програмне забезпечення та використовувати рішення для захисту робочих станцій від програм-вимагачів та інших видів шкідливого програмного забезпечення. Нагадуємо, що актуальні рішення для захисту робочих станцій, серверів, домашніх ПК і ноутбуків на базі ОС Windows, мають модуль захисту від уразливостей мережевих протоколів, який запобігає будь-яким спробам використовувати відомі уразливості, в тому числі і SMB1.