Компания ESET — лидер в области информационной безопасности — предупреждает о высокой активности уже известной программы-вымогателя WannaCryptor (также известная как WannaCry и WCrypt) в 1 квартале 2020 года.
Самая масштабная атака WannaCry состоялась в мае 2017 года и вызвала глобальный хаос в компьютерных системах во всем мире. Угроза распространялась с помощью эксплойта EternalBlue, который был направлен на критическую уязвимость в ОС Microsoft, а именно в реализации устаревшей версии протокола Server Message Block (SMB). Во время такой атаки киберпреступники сканировали сеть на наличие компьютеров с незащищенным портом SMB, после чего запускали код эксплойта для любых выявленных уязвимых устройств, а затем загружали вредоносный компонент, например программу-вымогатель WannaCryptor.D.
Как изменился уровень распространения WannaCry в 2020 году?
Спустя три года WannaCry по-прежнему остается активной угрозой среди программ-вымогателей. Согласно результатам исследования ESET, в 1 квартале 2020 года 40,5% обнаружений программ-вымогателей приходится на WannaCry. Такой высокий показатель настораживает, учитывая, что прошло почти три года с момента наибольшей вспышки. Согласно данным ESET, в начале 2020 года WannaCry была направлена на пользователей Турции, Таиланда и Индонезии из-за большого количества уязвимых устройств в этих регионах.
Топ-10 самых распространенных программ-вымогателей, выявленных за январь-апрель 2020
Тенденции использования эксплойта EternalBlue
Для осуществления атаки WannaCry злоумышленники использовали известный эксплойт EternalBlue. Стоит отметить, что количество попыток атак с использованием этого эксплойта уменьшалось на протяжении всего 1 квартала 2020 года. Несмотря на это, эксплойт остается актуальной угрозой с сотнями тысяч попыток атак ежедневно даже через три года после WannaCry.
Согласно данным Shodan, сегодня насчитывается около миллиона компьютеров Windows с протоколом SMBv1, которые подключены к Интернет-сети и подвержены атакам с использованием эксплойта EternalBlue.
По сравнению с прошлым годом произошли некоторые изменения и в расположении большинства зараженных устройств. В то время как Соединенные Штаты по-прежнему продолжают лидировать по количеству выявленных уязвимых устройств, Россия обогнала Японию и заняла второе место. Самым интересным примером является Южная Африка, которая в прошлом году отсутствовала в списке, а теперь заняла четвертое место.
EternalBlue наиболее известный за причастность к атаке программой-вымогателем WannaCry, хотя это далеко не единственная масштабная атака с использованием данного эксплойта. В частности, EternalBlue также использовался в 2017 году во время атаки Diskcoder.C (Petya, NotPetya и ExPetya) и программы-вымогателя BadRabbit, которая была нацелена на сеть Wi-Fi одной из гостиниц.
Стала ли атака WannaCry полезным уроком для пользователей?
Многие специалисты по кибербезопасности утверждают, что вспышку WannaCry можно было бы избежать или вовремя остановить, если бы пользователи во всем мире провели необходимые меры по безопасности. Microsoft сообщила об этой уязвимости и выпустила критическое обновление для системы безопасности в рамках обычного обновления за 59 дней до начала глобальной атаки.
Кроме того, компания Redmond отмечала еще в 2013 году, что первая версия протокола SMBv1, которой уже более тридцати лет, устарела и ее следует больше не использовать. И даже если исправления не были установлены, некоторые базовые настройки безопасности устройства могли бы предотвратить проникновение WannaCry.
Большинство экспертов кибербезопасности считало, что глобальная вспышка WannaCry будет ценным уроком для пользователей сети, однако, это не так. В частности, в середине прошлого года было выявлено уязвимость BlueKeep в службах удаленного рабочего стола (RDP), которая может стать новым вектором атак. Сразу же после обнаружения уязвимости большинство технологических компаний сообщили пользователям и рекомендовали администраторам предприятий как можно скорее исправить недостаток. Однако, уже через несколько месяцев были зафиксированы первые атаки.
Стоит отметить, что после выявления данной уязвимости компания ESET в прошлом году выпустила бесплатный инструмент для проверки несанкционированного использования BlueKeep (CVE-2019-0708) на компьютерах Windows.
Как видим, через три года большинство людей все равно недооценивают значение исправлений уязвимостей своих компьютерных систем и соблюдения основных правил безопасности. Специалисты ESET настоятельно рекомендуют регулярно обновлять программное обеспечение и использовать решение для защиты рабочих станций от программ-вымогателей и других опасных видов вредоносного программного обеспечения. Напоминаем, что актуальные решения для защиты рабочих станций, серверов, домашних ПК и ноутбуков на базе ОС Windows, имеют модуль защиты от уязвимостей сетевых протоколов, который предотвращает любые попытки использовать известные уязвимости, в том числе и SMB1.