Как мошенники майнят криптовалюту за ваш счет

05.02.2018

Недолго длилось затишье после отгремевшего по всему миру вируса WannaCry – ему на смену пришел WannaMine. Мы разобрались, в чем опасность обновленной версии эксплойта EternalBlue, и почему до сих пор от него нет спасения.

Первоначально разработанный для нужд Агентства национальной безопасности США и ставший доступным для общественности эксплойт EternalBlue использовался для создания глобального зловреда WannaCry, который охватил почти 150 стран в 2017 году. Эта же программа легла в основу нового вируса WannaMine, ставшего теперь грозой не пользователей, а майнеров — вредоносная программа прячется в майнинговых системах, попутно перегружая систему в ходе добычи криптовалют.

Сложно найти и невозможно забыть

Речь идет о криптовалюте Monero, которая майнится при помощи простой пользовательской видеокарты без применения дорогого оборудования. WannaMine залегает глубоко в системе и о его присутствии можно догадаться только по замедлению скорости, с которой компьютер обрабатывает информацию.

Проникновение компьютерного червя может произойти как после случайного перехода по ссылке, так и путем целенаправленного заражения системы извне. WannaMine получает доступ к паролям и логинам с помощью инструмента Mimikatz. Если первый не справился с задачей, то в дело вступает EternalBlue.

Их одновременное применение позволяет вирусу обойти даже очень защищенные системы, потому заражение всей корпоративной сети произойдет после атаки всего на один компьютер.

Правда, пока WannaMine не воспринимается таким же опасным, как его предшественник WannaCry, из-за отсутствия блокировки системы и требований выкупа за «лечение». Тем не менее, компании могут понести убытки из-за внезапной перегрузки корпоративной сети, которую вызывает деятельность вируса.

Брайан Йорк, директор по продуктам CrowdStrike, отметил, что эксплойт EternalBlue все больше становится инструментом мошенничества в руках простых киберпреступников, тогда как раньше был прерогативой хакеров государственного уровня. И опасен вирус в первую очередь тем, что такой скрытый майнинг может остановить деятельность компании на «пару дней и даже недель».

Другая опасность WannaMine заключается в том, что он не запускает в систему какие-либо вредоносные приложения, а использует стандартные инструменты ОС Windows. Именно потому его наличие так трудно установить и отследить.

«Количество зараженных систем только увеличивается», — отмечает Йорк. — «При этом если с WannaCry хакеры давали пользователю возможность выбора, платить или нет за восстановление контроля над системой, то WannaMine позволяет злоумышленникам зарабатывать на ней напрямую».

«Думаю, в грядущем изощренность киберпреступников не раз еще нас удивит», — добавил эксперт.

Мода на майнеры

Эксплойт EternalBlue стал доступен хакерам всего мира благодаря действиям группировки Shadow Brokers, выложившей код программы в открытый доступ в прошлом году. Он лег в основу WannaCry, который блокировал компьютеры по всему миру, требуя за спасение личных пользовательских данных выкуп в биткоинах.

Спустя время EternalBlue был использован для написания вируса NotPetya, который проявил активность в нескольких странах. После этого эксперты по информационной безопасности предупредили, что освоение эксплойта хакерами разного уровня поспособствует увеличению кибератак по всему миру.

«Сегодня мы можем наблюдать эволюцию вредоносных ПО от программ-вымогателей до программ-майнеров — отмечает Ладислав Зезула, специалист Avast по исследованию вредоносных программ. — «А с учетом прибыльности криптовалют прямой майнинг становится выгоднее банального требования выкупа».

Стоит отметить, что первым криптомайнером, основанном на EternalBlue, стал вирус Adylkuzz, действовавший в 2017 году. И единственной возможностью для защиты является своевременная установка патчей против уязвимостей систем.

«Eternal Blue использует известную еще с начала 2017 года уязвимость ОС Windows в реализации протокола SMB», — рассказывает Павел Луцик, глава проектов по информбезопасности КРОК. — «После WannaCry многие стали устанавливать патчи на ОС, принимать соответствующие меры и в целом беспокоиться о безопасности. Однако недавняя атака WannaMine показала, что игнорирование основ информбезопасности обходится дорого и одних «заплат» постфактум недостаточно».

ФОТО: nir_design;MartinMoellerOfficial;xresch/pixabay

Читайте также:

Как не потерять все деньги, сняв наличные в банкомате

На рынке криптовалют появился «убийца» биткоина