Разработка Агентства национальной безопасности США, утекшая в минувшем году, теперь применяется хакерами для распространения майнера криптовалюты.
Эксплоит АНБ EternalBlue, предназначенный для Windows, был обнародован хакерской группой Shadow Brokers в апреле прошлого года. Менее чем через месяц он был использован для распространения вымогательской программы WannaCry, а в конце июня с помощью EternalBlue была запущена киберкампания NotPetya. Теперь специалисты в сфере информационной безопасности из CrowdStrike сообщают о новых кибератаках с применением EternalBlue – WannaMine.
Атаки WannaMine не являются такими масштабными, как WannaCry, но, как утверждают эксперты CrowdStrike, в некоторых случаях работа компаний, пострадавших от кибернападений, была остановлена на несколько дней или недель. Стоит отметить, что факт заражения сложно выявить, так как вредоносная программа не осуществляет загрузку каких-либо приложений на зараженное устройство.
Программа WannaMine, предназначенная для скрытного майнинга криптовалюты Monero с применением мощностей инфицированных компьютеров, впервые была зафиксирована экспертами Panda Security в октябре минувшего года. На прошлой неделе специалисты CrowdStrike рассказали о том, что в течение последних нескольких месяцев количество заражений WannaMine значительно увеличилось.
WannaMine попадает на систему, если пользователь переходит по вредоносной ссылке, размещенной в электронном письме или на веб-странице. При проникновении в систему, вредоносный скрипт задействует легитимные приложения: PowerShell и Windows Management Instrumentation. Следует отметить, что EternalBlue не является главным компонентом WannaMine. Прежде всего, программа пользуется утилитой Mimikatz для того, чтобы заполучить логины и пароли из памяти компьютера. Если сделать это не удается, WannaMine прибегает к EternalBlue.
Вредоносная программа, использующая Mimikatz и EternalBlue, может взломать любую систему, даже с самыми последними обновлениями.
