Контакты
Подписка 2025
ТБ Форум 2025
Отечественные ИT-платформы и ПО для объектов КИИ. Онлайн-конференция | 6 марта 2025
Регистрируйтесь и участвуйте!

Новое поколение вымогателей WantToCry через незащищённый SMB

04/02/25

hack97

Атаки программ-вымогателей продолжают эволюционировать, эксплуатируя уязвимости, о которых часто забывают. Одним из таких слабых мест стал неправильно настроенный протокол Server Message Block (SMB), который используется для обмена файлами и ресурсами в сети. Оставленные без защиты SMB-сервисы становятся лёгкой добычей для киберпреступников. Об этом пишет Securitylab.

По данным исследователей Seqrite Labs, группа хакеров под названием WantToCry (связь с WannaCry не установлена) активизировала атаки в 2024 году, используя уязвимости SMB, SSH, FTP и других сетевых сервисов. Основной метод компрометации — подбор паролей, основанный на обширной базе учётных данных. После получения доступа злоумышленники шифруют файлы на сетевых дисках и устройствах хранения данных, оставляя жертве записку с требованиями выкупа.

Хотя программное обеспечение безопасности и средства обнаружения угроз становятся более совершенными, преступники тоже не стоят на месте. WantToCry не только использует брутфорс-атаки, но и шифрует файлы удалённо, без загрузки вредоносного ПО на локальные машины. Такой подход позволяет избежать детектирования антивирусами и усложняет анализ инцидента .

Обнаруженные индикаторы компрометации указывают на активные IP-адреса, использовавшиеся для атак. В случае компрометации злоумышленники предлагают связаться через зашифрованные каналы связи, такие как Telegram и Tox. После успешного шифрования файлы получают расширение «.want_to_cry», а в каталогах создаётся текстовый файл с инструкциями по оплате выкупа.

Основная проблема заключается в том, что SMB часто остаётся открытым для доступа без пароля или с устаревшими учётными данными. Это позволяет хакерам не только шифровать файлы, но и перемещаться по сети, атакуя другие устройства. Публично доступные SMB-сервисы слабо защищены и часто становятся целью автоматических атак.

Чтобы избежать подобных инцидентов, специалисты рекомендуют отключать SMB при отсутствии необходимости в его использовании, а также закрывать доступ к портам 445 и 139 из интернета. Кроме того, важно применять надёжные пароли, регулярно обновлять программное обеспечение и настраивать многофакторную аутентификацию.

Темы:УгрозыВымогателиbrute-forceSeqrite Labs
КИИ
Отечественные ИT-платформы и ПО для объектов критической информационной инфраструктуры
Регистрируйтесь и участвуйте 6 марта 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Кибербезопасность инфраструктуры, данных и приложений. 7 марта 2025
Регистрация →

Еще темы...

More...