Image
10.6.2018 0 Comments

Spomínate si na WannaCry? Exploit, ktorý ho šíril, láme detekčné rekordy

Už je to viac ako rok odvtedy, čo sa ransomvér detegovaný ako WannaCryptor.D (krátko aj WannaCry) šíril svetom. Zašifroval stovky tisíc zariadení vo viac ako 150 krajinách, čím sa zapísal do histórie ako jeden z najhorších kybernetických útokov. Aj keď sa šírenie tohto malvéru po pár hodinách podarilo zastaviť, mechanizmus, ktorý útok umožnil, je stále dostupný a v súčasnosti rekordne populárny. Reč je o škodlivom nástroji EternalBlue.

Tento exploit mal údajne uniknúť z americkej tajnej službe NSA. Zneužíva zraniteľnosti v implementácii protokolu Server Message Block (SMB) v systémoch Microsoftu, konkrétne sa zameriava na port 445. Aj keď softvérový gigant tento problém už vlani v marci opravil (v rámci Microsoft Security Bulletin MS17-010), po celom svete je stále množstvo zariadení bez tejto aktualizácie.

To si uvedomujú aj útočníci, ktorí skenujú internet a hľadajú práve nechránený port 445. Ak naň narazia, spustia EternalBlue a jeho prostredníctvom prepašujú do systému škodlivý kód podľa vlastného výberu.

Online sa exploit objavil vlani v apríli a od toho momentu zažil už dve obdobia, keď jeho popularita lámala rekordy. Prvá takáto éra nastala krátko po jeho publikovaní, keď ho okrem kampane WannaCryptor použili aj útočníci za ešte ničivejšou kampaňou s názvom Diskcoder.C (známa aj ako Petya alebo NotPetya). Po nej síce nasledovalo niekoľko pokojnejších mesiacov, keď sme zaznamenávali „len“ stovky pokusov o jeho využitie denne, no od jesene EternalBlue opäť začal naberať na sile a v polovici apríla 2018 dosiahol doposiaľ najvyššie hodnoty.

Možným vysvetlením je kampaň ransomvérovej rodiny s názvom Satan, ktorá sa objavila približne v tom istom čase. No okrem dostupnosti exploitu mohlo za nárastom stáť aj viacero simultánnych útokov.

Musíme však upozorniť, že EternalBlue nie je pri svojich útokoch na zariadenia chránené riešeniami ESET úspešný. Chráni ich totiž sieťový modul s názvom Network Attack Protection, ktorý blokuje útoky už pri vstupe do siete. Dá sa to prirovnať k tichému zaklopaniu na vchodové dvere hlboko v noci. Keďže vieme, že na druhej strane dverí je pravdepodobne niekto, kto má nečisté úmysly, dvere hermeticky uzavrieme a hrozbu necháme na ich vonkajšej strane. Tento postup pritom fungoval nielen na ransomvérovú kampaň WannaCryptor.D z 12. mája 2017, ale aj na viaceré kampane pred týmto útokom a po ňom.

EternalBlue stál aj za ďalšími „prominentnými“ útokmi. Okrem WannaCry a Diskcoder.C pomáhal šíriť aj ransomvér BadRabbit koncom roka 2017. EternalBlue má vo svojom arzenáli aj skupina skúsených kyberšpiónov Sednit (alebo APT28, Fancy Bear či Sofacy), ktorá exploit využila pri útokoch na siete Wi-Fi európskych hotelov. Objavil sa takisto v rukách black-hat hackerov, ktorí zariadenia svojich obetí zneužívajú na ťažbu kryptomien.

K úniku EternalBlue došlo pravdepodobne niekedy v roku 2016. Zverejnila ho skupina Shadow Brokers v apríli 2017. Fakt, že aj po takom dlhom čase je stále populárny a dokáže infikovať zariadenia, ukazuje, aké dôležité je aktualizovať operačný systém a všetok softvér. Mimoriadne efektívne opatrenie, a to aj pre ťažko aktualizovateľné systémy, je i kvalitné bezpečnostné riešenie, ktoré vďaka viacerým vrstvám ochrany dokáže blokovať aj vyspelé a doposiaľ neznáme hrozby tohto typu.

Ondrej Kubovič, ESET

 

 

Zobrazit Galériu

Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Výstraha: Aj vaša verzia Windows môže byť ohrozená, stiahnite si „záplatu”

16.08.2019 00:10

Microsoft vydal varovanie pred kritickou zraniteľnosťou nachádzajúcou sa vo všetkých verziách Windows od Sedmičiek až po Desiatky, vrátane serverových verzií. Chyba navyše umožňuje, aby sa vírus šíri ...

Bezpečnosť

Hackeri môžu premeniť bežné reproduktory na akustickú kybernetickú zbraň

13.08.2019 00:10

Okrem prehrávania hudby či konverzácie sú bežné komerčné reproduktory fyzicky schopné vysielať aj frekvencie mimo pásma počuteľného pre ľudí. Na bezpečnostnej konferencii Defcon v Las Vegas jeden z vý ...

Bezpečnosť

Do 1,4 miliardy iPhonov a iPadov sa dá nabúrať

13.08.2019 00:00

Spoločnosť Check Point oznámila, že našla spôsob, ako sa dá nabúrať do každého iPhonu či iPadu s operačným systémom od iOS 8 až po beta verzie iOS 13. Ide teda o zariadenia z posledných 8 rokov, ktoré ...

q

Žiadne komentáre

Vyhľadávanie

eFocus_2019

Najnovšie videá