01/07/21
Опасный эксплоит EternalBlue, разработанный Агентством национальной безопасности (АНБ) США для эксплуатации уязвимости в протоколе Microsoft Server Message Block, (SMB) продолжает представлять серьезную угрозу для многих организаций по всему миру более чем через четыре года после выпуска исправления.
Последним примером подобной угрозы является вредоносное ПО Indexsinas (также известный как NSABuffMiner) с червеобразными функциями. Вредонос первоначально использовался для атак на организации в Азиатско-Тихоокеанском регионе, но в последнее время начал все чаще применяться против североамериканских организаций в сфере здравоохранения, гостеприимства, образования и телекоммуникаций.
По словам специалистов из компании Guardicore, вредоносное ПО проникает в сети через серверы SMB, содержащие уязвимость EternalBlue . Затем хакеры используют комбинацию EternalBlue и двух атакующих инструментов АНБ ( DoublePulsar и EternalRomance ) для перемещения по сети, получения привилегированного доступа и установки бэкдоров в зараженных сетях и системах.
Вредоносное ПО ищет и завершает процессы, удаляет файлы и останавливает работу служб, связанных с другими вредоносными кампаниями. Похоже, что основным мотивом киберпреступников является использование зараженных систем для майнинга криптовалюты. Эксперты предполагают, что хакеры могут использовать зараженные устройства в качестве инфраструктуры или для продажи доступа другим злоумышленникам.
Согласно результатам поисковых запросов Shodan, в настоящее время в Сети находится более 1,2 миллиона серверов SMB. Остается неизвестным, сколько из них содержат уязвимость EternalBlue. Эксперты зафиксировали более 2 тыс. атак с более чем 1,3 тыс. различных IP-адресов, расположенных в основном в США, Индии и Вьетнаме. Преступники использовали один и тот же хорошо защищенный C&C-сервер в Южной Корее для осуществления атак в течение последних четырех лет.
