[You must be registered and logged in to see this image.]„
Не сме виждали нищо подобно досега. Това е масивна глобална атака, най-голямата и най-ефективна до днес. За съжаление, не всички организации са се защитили срещу ETERNALBLUE и експлойтите на Shadow Brokers“, това заявява пред Dark Reading
Курт Баумгартнер от Global Research and Analysis Team (GReAT) към Kaspersky Lab в интервю от вчера.
Думите му визират, разбира се,
[You must be registered and logged in to see this link.], заразила над 50 000 системи в 74 страни (по данни на Kaspersky Lab от снощи – т.е., вероятно тези цифри са далеч по-високи вече). Атаката е използвала дупка в операционната система Windows, която Microsoft адресира още през март – уязвимост в SMB протокола. Не е известно експлойтът да работи с други имплементации на SMB, като да речем Samba. Посредством експлойт за проблема в мрежовия протокол е доставян високо ефективен и все още непознат рансъмуер с името
Wanna Decryptor (или WannaCry). Поради особеностите на протокола, вирусът е получил способността да се саморепликира в мрежите, в които попада, разпространявайки се сред другите машини в периметъра. Самата зловредна програма идва на множество езици и изисква откуп, който след определен период от време бива удвояван, а след това потребителят е заплашен, че криптираните файлове могат да бъдат изтрити.
От Microsoft заявяват, че уязвимостта не засяга компютри с Windows 10, макар и в бюлетина, издаден по повод адресирането ѝ е видно, че част от шестте уязвимости, свързани с мрежовия протокол засяга всички версии на Windows 2010 до Server 2016. Компанията е издала извънреден пач за вече неподдържани системи, като Windows XP и Server 2012, тъй като става дума за глобална кампания и извънредно високи нива на заразяване.
Първите, които предадоха за провежданата атака са били от
британската Национална здравна служба (National Health Service), като заплахата е създала повсеместна паника и се е наложило изключването на системи, поради опасност от разпространение на заплахата и пренасочването на пациенти от едни болнични заведения в други.
Испанският телеком Telefonica, мрежите на голям френски автомобилен производител, който временно е спрял производство, също са сред първите жертви. Най-атакувани обаче, поне според Kaspersky Lab, са
системите в Руската федерация с непропорционални високи нива в сравнение с другите държави, следвани от тези в Украйна и Индия.
[You must be registered and logged in to see this image.]Изображение: Kaspersky LabВъзможно е също така, въпросната атака да използва и друга уязвимост освен тази в SMB протокола, тъй като се наблюдава зараза и сред системи, в които въпросната дупка е адресирана.
Ако все още не сте наложили бюлетина MS17-010, който покрива проблемите открити в SMB протокола, го направете веднага.
За съжаление, настоящата атака потвърждава за пореден път това, че ако не поддържате винаги обновен до последна версия софтуера си, вие сте уязвими на атаки и то независимо колко внимателни сте в Интернет. Освен това, предупреждението на специалисти, че публикуваните от Shadow Brokers инструменти на АНС ще бъдат включени в атаки, се оказа вярно. Само пред дни, Microsoft запуши сериозна уязвимост в антималуер енджина на Windows. Тогава предположихме, че скоро може да станем свидетели на масирани атаки, експлоатиращи уязвимостта, която може да се задейства посредством отдалечен път и е достатъчно жертвата да се подлъже да посети зловредна страница. Освен това, подобно и на инструментите в настоящата атака, тя има способността да се саморепликира. Засега не сме чули за подобни атаки, но вие си знаете, наложете възможно по-скоро майския пакет с обновления, ако не искате да сте част от новините.
Повече за атаката може да прочетете в блога на Kaspersky Lab и в този на този на Talos Security.
/kaldata.com