Програма-вимагач WannaCry стала найбільшою цифровою загрозою у світі за останні роки, уразивши десятки тисяч комп’ютерів користувачів у всьому світі. Програма виявляється продуктами ESET як Win32/Filecoder.WannaCryptor.D та має подібні до мережевого черв’яка характеристики, завдяки яким загроза може інфікувати інші пристрої мережі.
На пристрій жертви шкідлива програма проникає завдяки використанню експлойта eternalblue, який дозволяє здійснювати самовідтворення WannaCry, а отже, забезпечує швидке поширення загрози. Експлойт використовує уразливості у застарілих (Windows XP, Windows 8.0, Windows Server 2003), а також інших версіях операційної системи Windows, в яких не було застосовано виправлення MS17-010.
Вважається, що розробником даного експлойту є Агентство національної безпеки. У результаті витоку даних EternalBlue та ряд інших кіберінструментів потрапили у руки групи Shadow Brokers. Група безуспішно намагалася виставити їх на аукціон, однак через неприбутковість справи Shadow Brokers вирішила продавати інструменти АНБ окремо.
14 березня 2017 року компанія Microsoft виправила критичні уразливості SMB, випустивши виправлення MS17-010. Майже через місяць група Shadow Brokers завантажила багато викрадених інструментів у мережу Інтернет. Потрапив у загальний доступ і експлойт EternalBlue.
Заблоковані спроби проникнення експлойта EternalBlue
12 травня 2017 року EternalBlue став важливим компонентом масової атаки WannaCry. На цей час всі елементи були в руках зловмисників: експлойт EternalBlue і вимагач WannaCryptor (також відомий як WannaCry), що був активний із початку квітня.
Проте як домашні, так і корпоративні користувачі можуть уникнути інфікування кількома способами. Як відомо, виправлення для уразливості стало доступне за два місяці до атаки. Хоча воно і не стосується процедур шифрування вимагачів, виправлення блокує розповсюдження загрози в мережі через інфіковані хости. Крім того, активні засоби захисту, встановлені на хості, наприклад, захист від експлойтів або оновлений захист від шкідливих програм здатні блокувати спроби інфікування та зупинити атаку під час проникнення загрози в мережу.
Зрештою, певний ступінь контролю над вхідними і вихідними даними хостів у мережі також може стати в нагоді. Під час масових атак багато компаній, побоюючись того, що їхні комп'ютери під загрозою, вирішили вимкнути комп'ютери та відправити співробітників додому. Однак для зменшення ризику інфікування необхідно було ізолювати хости в мережах та покращити можливості виявлення.
У п'ятницю ввечері з’явилися новини про зупинку поширення шкідливої програми. Програміст @MalwareTech помітив, що загроза, перш ніж перейти до шифрування, робила HTTP запит, який мав зазнати невдачі. Оскільки домен був попередньо незареєстрований, усі запити зазнавали невдач, що розпочинало шифрування файлів. Проте після реєстрації домену для запитів програмісту @MalwareTech вдалося перенаправити запити на існуючі сервери та зупинити поширення першої версії шкідливої програми.
Наступні версії не забарилися. Нові зразки загрози виправили попередній домен шляхом перезапису бінарних даних першої версії (з використанням таких інструментів, як HEXEdit).
На цей час доходи кіберзлочинців досягли трохи більше $ 50 000, що порівняно із збитками, заподіяними в результаті поширення загрози, невелика сума. Дана атака ще раз засвідчила факт того, що використання уразливостей (не обов'язково «0-денних») може мати величезний вплив на роботу бізнесу.
Швидкість реагування кіберзлочинців показує, що боротьба з шкідливими програмами – завдання не з легких. Загрози швидко розповсюджують та оперативно адаптуються для продовження поширення. Після такої успішної атаки варто очікувати копіювання інструментів та методології, а також слід готуватися до більш складних атак, особливо в найближчому майбутньому.
Зокрема спеціалісти ESET вважають, що у довгостроковій перспективі збільшиться кількість шкідливих програм, подібних за характеристиками до черв’яків, а найближчим часом можна очікувати зростання активності шкідливих програм із використанням експлойта EternalBlue.
У зв’язку з можливою небезпекою варто застосувати необхідні виправлення для даної уразливості. Для локальної перевірки наявності виправлень спеціалісти ESET розробили простий скрипт, який витягує з системи список встановлених оновлень і шукає ті, які закривають уразливість.
Скрипт простий у використанні: спочатку необхідно запустити скрипт, почекати близько хвилини, поки скрипт використовує WMCI для вибору списку встановлених оновлень, і, нарешті, отримати оновлення для уразливості EternalBlue.
Отже, найкращим запобіжним заходом від проникнення експлойту EternalBlue на комп’ютери є застосування відповідного виправлення. Крім цього, спеціалісти ESET рекомендують встановити надійне антивірусне програмне забезпечення, яке зможе зупинити загрозу та запобігти інфікуванню, а також налаштувати систему резервного копіювання важливої інформації, яка у разі шифрування шкідливою програмою допоможе відновити всі дані.