Image
10.6.2018 0 Comments

Spomínate si na WannaCry? Exploit, ktorý ho šíril, láme detekčné rekordy

Už je to viac ako rok odvtedy, čo sa ransomvér detegovaný ako WannaCryptor.D (krátko aj WannaCry) šíril svetom. Zašifroval stovky tisíc zariadení vo viac ako 150 krajinách, čím sa zapísal do histórie ako jeden z najhorších kybernetických útokov. Aj keď sa šírenie tohto malvéru po pár hodinách podarilo zastaviť, mechanizmus, ktorý útok umožnil, je stále dostupný a v súčasnosti rekordne populárny. Reč je o škodlivom nástroji EternalBlue.

Tento exploit mal údajne uniknúť z americkej tajnej službe NSA. Zneužíva zraniteľnosti v implementácii protokolu Server Message Block (SMB) v systémoch Microsoftu, konkrétne sa zameriava na port 445. Aj keď softvérový gigant tento problém už vlani v marci opravil (v rámci Microsoft Security Bulletin MS17-010), po celom svete je stále množstvo zariadení bez tejto aktualizácie.

To si uvedomujú aj útočníci, ktorí skenujú internet a hľadajú práve nechránený port 445. Ak naň narazia, spustia EternalBlue a jeho prostredníctvom prepašujú do systému škodlivý kód podľa vlastného výberu.

Online sa exploit objavil vlani v apríli a od toho momentu zažil už dve obdobia, keď jeho popularita lámala rekordy. Prvá takáto éra nastala krátko po jeho publikovaní, keď ho okrem kampane WannaCryptor použili aj útočníci za ešte ničivejšou kampaňou s názvom Diskcoder.C (známa aj ako Petya alebo NotPetya). Po nej síce nasledovalo niekoľko pokojnejších mesiacov, keď sme zaznamenávali „len“ stovky pokusov o jeho využitie denne, no od jesene EternalBlue opäť začal naberať na sile a v polovici apríla 2018 dosiahol doposiaľ najvyššie hodnoty.

Možným vysvetlením je kampaň ransomvérovej rodiny s názvom Satan, ktorá sa objavila približne v tom istom čase. No okrem dostupnosti exploitu mohlo za nárastom stáť aj viacero simultánnych útokov.

Musíme však upozorniť, že EternalBlue nie je pri svojich útokoch na zariadenia chránené riešeniami ESET úspešný. Chráni ich totiž sieťový modul s názvom Network Attack Protection, ktorý blokuje útoky už pri vstupe do siete. Dá sa to prirovnať k tichému zaklopaniu na vchodové dvere hlboko v noci. Keďže vieme, že na druhej strane dverí je pravdepodobne niekto, kto má nečisté úmysly, dvere hermeticky uzavrieme a hrozbu necháme na ich vonkajšej strane. Tento postup pritom fungoval nielen na ransomvérovú kampaň WannaCryptor.D z 12. mája 2017, ale aj na viaceré kampane pred týmto útokom a po ňom.

EternalBlue stál aj za ďalšími „prominentnými“ útokmi. Okrem WannaCry a Diskcoder.C pomáhal šíriť aj ransomvér BadRabbit koncom roka 2017. EternalBlue má vo svojom arzenáli aj skupina skúsených kyberšpiónov Sednit (alebo APT28, Fancy Bear či Sofacy), ktorá exploit využila pri útokoch na siete Wi-Fi európskych hotelov. Objavil sa takisto v rukách black-hat hackerov, ktorí zariadenia svojich obetí zneužívajú na ťažbu kryptomien.

K úniku EternalBlue došlo pravdepodobne niekedy v roku 2016. Zverejnila ho skupina Shadow Brokers v apríli 2017. Fakt, že aj po takom dlhom čase je stále populárny a dokáže infikovať zariadenia, ukazuje, aké dôležité je aktualizovať operačný systém a všetok softvér. Mimoriadne efektívne opatrenie, a to aj pre ťažko aktualizovateľné systémy, je i kvalitné bezpečnostné riešenie, ktoré vďaka viacerým vrstvám ochrany dokáže blokovať aj vyspelé a doposiaľ neznáme hrozby tohto typu.

Ondrej Kubovič, ESET

 

 

Zobrazit Galériu

Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Výsledky súťaže EY Cyber Security Trophy - rozhovor s víťazom

13.12.2019 00:12

Absolútnym víťazom súťaže EY Cyber Security Trophy sa stal Milan Kyselica. Víťaz okrem prestížneho titulu získal aj príležitosť účasti na významnej svetovej konferencii venujúcej sa kybernetickej bezp ...

Bezpečnosť

Samsung varuje pred podvodnými ponukami na internete

12.12.2019 17:57

Na internete sa v Česku aj na Slovensku objavili podvodné stránky, ktoré ponúkajú smartfón Samsung Galaxy S10+ za niekoľko eur (1 euro a pod.) napríklad ako úhradu poštovného pre zaslanie odmeny za úč ...

Bezpečnosť

Bezpečný chod vášho podnikania vďaka Schneider Electric Easy UPS 3S

09.12.2019 00:00

Špeciálny projekt Ochrana citlivých dáta a informačných systémov pred prerušením napájania dnes nie je len otázkou pre IT sektor. V prostredí automatizácie ale aj maloobchodu sa nachádzajú  citlivé s ...

Žiadne komentáre

Vyhľadávanie

Najnovšie videá