Jeden z groźniejszych exploitów powraca

W ubiegłym roku informowaliśmy was o nowym wówczas zagrożeniu, które skutecznie zaatakowało kilkaset tysięcy urządzeń z systemem Windows na całym świecie. Uważnie śledziliśmy przebieg potężnego ataku znanego pod nazwą WannaCry. Wydawałoby się, że przy tak dużej skali działania, kontratak umożliwiający zniwelowanie działania malware’u okaże się również szybki i skuteczny. Niestety, mimo że Microsoft opublikował łatkę usuwającą podatność wykorzystywaną przez WannaCry jeszcze przed pierwszą globalną emisją tego szkodnika, to jego skuteczność i tak okazała się zaskakująco wysoka. Co gorsza aktywność wykorzystania exploita EternalBlue jest wciąż bardzo wysoka, a według danych telemetrycznych słowackiej firmy ESET – wyższa niż kiedykolwiek.
wannacry

W kwietniu tego roku wirus WannaCry zaatakował komputery na całym świecie. Zaatakowane kraje zaznaczone są kolorem czerwonym (fot. Wikipedia/Roke)

Wykres telemetrii wykorzystania exploita EternalBlue
Wg danych gromadzonych przez sieć telemetryczną ESET LiveGrid w ostatnim czasie aktywność exploita EternalBlue przekroczyła nawet chwilowo stan notowany podczas ubiegłorocznej fali ataków (źródło: ESET).

EternalBlue to exploit wykorzystujący lukę (opisaną w Biuletynie Bezpieczeństwa Microsoft pod numerem MS17-010) w przestarzałej wersji opracowanej przez Microsoft implementacji protokołu Server Message Block. Słowo “przestarzała” nie jest tu użyte przypadkiem, bowiem Microsoft opublikował łatę usuwającą problem z SMB jeszcze przed pierwszą falą zeszłorocznych, głośnych epidemii złośliwego kodu (głównie WannaCry, ale również Petya/NonPetya) używającego wspomnianego exploita. Mimo to doskonale pamiętamy szczególną zjadliwość ubiegłorocznych ataków.

Zdaniem ekspertów z firmy ESET ostatni wzrost aktywności pokazuje, że wciąż bardzo wielu użytkowników niefrasobliwie podchodzi do kwestii aktualizacji swoich komputerów. W efekcie złośliwy kod wciąż pozostaje bardzo aktywny i atakuje kolejne cele. Cyberprzestępcy wciąż wykorzystują do dawna załataną podatność w swoich atakach. Z WannaCry mieliśmy do czynienia w maju 2017 roku, w czerwcu pojawił się Diskcoder.C znany bardziej pod nazwą Petya/NonPetya. Kolejna ransomware’owa kampania wykorzystująca wciąż tę samą, przestarzałą podatność której używa exploit EternalBlue ruszyła w czwartym kwartale ubiegłego roku. Identyczną lukę wykorzystywał atak o nazwie Sednit (grupa APT28), który tym razem nie był atakiem ransowmare lecz atakiem szpiegowskim wymierzonym w sieci bezprzewodowe w europejskich sieciach hoteli (również o tym ataku więcej znajdziecie w naszym serwisie).

malware
Niezałatane komputery mogą być zaatakowane skutecznie przestarzałymi szkodnikami. (fot. Pixabay)

Zamiast podsumowania wystarczy wspomnieć sytuację w jakiej znalazła się jedna z amerykańskich szkół publicznych (pisaliśmy o tym), która została zaatakowana przez głośnego szkodnika WannaCry. Atak ten nastąpił nie rok temu lecz w kwietniu. Jego główną przyczyną była głupota administratora czy też innej osoby odpowiedzialnej za infrastrukturę informatyczną placówki edukacyjnej, która zaniedbała kwestię aktualizacji, a także “zapomniała” o kopiach zapasowych. Szkoła mimo wpłaty (w bitcoinach) równowartości 10 tysięcy dolarów okupu do dziś nie odzyskała danych.

Jeszcze raz powtarzamy – i będziemy to robić do znudzenia – aktualizujcie swoje komputery. Złośliwe oprogramowanie wykorzystujące dawno załatane podatności wciąż skutecznie może zaatakować sprzęt, którego właściciel zapomniał o aktualizacjach. Co gorsza w momencie ataku, cyberprzestępcy którzy go zainicjowali już dawno mogą o nim nie pamiętać, w efekcie pozostaniemy z zaszyfrowanymi danymi, których nie odszyfrują żadne pieniądze świata. Płacić oczywiście można próbować, ale – podobnie jak w przypadku rzeczonej amerykańskiej szkoły – nie mamy żadnych gwarancji, że pomoże to nam odzyskać dostęp do danych. | CHIP