Копипаст
Специалисты в сфере информационной безопасности из CrowdStrike сообщили о значительном увеличении кибератак WannaMine, предназначенных для скрытого майнинга криптовалюты Monero. В качестве компонента программы хакеры используют эксплоит EternalBlue, похищенный у Агентства национальной безопасности США.
Как утверждают эксперты, в некоторых случаях работа компаний, пострадавших от WannaMine, была остановлена на несколько дней или недель. Установить факт заражения непросто, так как вредоносная программа не осуществляет загрузку каких-либо приложений на устройство жертвы.
«WannaMine попадает в систему, если пользователь переходит по вредоносной ссылке, размещенной в электронном письме или на веб-странице. При проникновении в систему, вредоносный скрипт задействует легитимные приложения: PowerShell и Windows Management Instrumentation»,— сообщили в CrowdStrike.
Стоит отметить, что EternalBlue не является главным компонентом WannaMine. Прежде всего, программа пользуется утилитой Mimikatz для того, чтобы заполучить логины и пароли из памяти компьютера. Если сделать это не удается, WannaMine прибегает к EternalBlue. Эксперты добавляют, что благодаря этой особенности WannaMine может взломать любую систему, даже с самыми последними обновлениями.
Впервые атака WannaMine была зафиксирована экспертами Panda Security в октябре минувшего года.
Напомним, эксплоит EternalBlue, предназначенный для Windows, был обнародован хакерской группой Shadow Brokers в апреле прошлого года. Менее чем через месяц он был использован для распространения вымогательской программы WannaCry, а в конце июня с его помощью была запущена киберкампания NotPetya. В октябре 2017 года аналитики исследовательской компании Talos сообщили, что разработчики вируса-шифровальщика Bad Rabbit также использовали модифицированную версию эксплоита EternalBlue под названием EternalRomance.