Прошло два года после нашумевшей атаки WannaCry, которая привела к хаосу в компьютерных системах по всему миру, однако исследователи утверждают, что сотни тысяч людей становятся жертвами эксплойта EternalBlue, на котором основана данная атака.
Хотя патчи уже давно доступны для устранения недостатка в реализации Microsoft Server Message Block (SMB) на порте 445, киберпреступники продолжают использовать EternalBlue, который был впервые разработан Агентством национальной безопасности США до того, как его украли.
Согласно недавнему сообщению в блоге ESET, согласно данным телеметрии ESET, количество попыток блокирования атак, основанных на данном эксплойте, резко выросло в этом году, хотя WannaCry представляет собой одну из наиболее успешных попыток использовать EternalBlue, киберпреступники надеются, что история повторится.
Потенциальное возвращение WannaCry
Исследователи ESET заявили, что в последнее время Китай подвергается атакам на основе EternalBlue, которые используют вредоносное ПО для майнинга криптовалюты путем кражи ресурсов компьютера. Это несколько отличается от того, как эта уязвимость использовалась WannaCry, а также NotPetya и BadRabbit, последовавших вскоре после этого в 2017 году.
Несмотря на то, что атаки WannaCry привлекли внимание всего мира к важности следования передовым практикам в области ИТ-безопасности, исследователи предположили, что есть еще много фирм, которые не развернули доступные для них исправления.
По сообщениям исследователей из Malwarebytes Labs, в дикой природе существуют и свежие случаи EternalBlue, использующие другие уязвимости, в том числе проблему протокола удаленного рабочего стола (RDP) в некоторых версиях Windows . Хотя атака на эту уязвимость официально не названа, она выполняется знакомым образом — субъектам угрозы не нужно заражать определенную систему; они могут выполнять код удаленно и удерживать его для выкупа. С тех пор Microsoft выпустила патч для борьбы с эксплойтом.
Исследователи добавили, что некоторые из всплесков активности EternalBlue могут быть не злонамеренными, а скорее результатом попыток групп корпоративной безопасности поэкспериментировать с эксплойтом и выполнить тестирование на проникновение, чтобы они могли лучше отражать атаки в стиле WannaCry в будущем.
Остановите следующий WannaCry используя наименьшие привилегии
К счастью, существует множество способов защитить себя от кибератак на основе EternalBlue. Эксперты IBM предлагают начать с использования подхода с минимальными правами доступа к сети, анализа политик изоляции сети и деактивации любых устаревших протоколов SMB.