Исследование: WannaMine для майнинга Monero может взломать любую систему

Оригинал: https://forklog.com/issledovanie-wannamine-dlya-majninga-monero-mozhet-vzlomat-lyubuyu-sistemu/

Специалисты в сфере информационной безопасности из CrowdStrike сообщили о значительном увеличении кибератак WannaMine, предназначенных для скрытого майнинга криптовалюты Monero. В качестве компонента программы хакеры используют эксплоит EternalBlue, похищенный у Агентства национальной безопасности США.

Как утверждают эксперты, в некоторых случаях работа компаний, пострадавших от WannaMine, была остановлена на несколько дней или недель. Установить факт заражения непросто, так как вредоносная программа не осуществляет загрузку каких-либо приложений на устройство жертвы.

«WannaMine попадает в систему, если пользователь переходит по вредоносной ссылке, размещенной в электронном письме или на веб-странице. При проникновении в систему, вредоносный скрипт задействует легитимные приложения: PowerShell и Windows Management Instrumentation», — сообщили в CrowdStrike.

Стоит отметить, что EternalBlue не является главным компонентом WannaMine. Прежде всего, программа пользуется утилитой Mimikatz для того, чтобы заполучить логины и пароли из памяти компьютера. Если сделать это не удается, WannaMine прибегает к EternalBlue. Эксперты добавляют, что WannaMine может взломать любую систему, даже с самыми последними обновлениями.

Впервые атака WannaMine была зафиксирована экспертами Panda Security в октябре минувшего года.

Напомним, эксплоит EternalBlue, предназначенный для Windows, был обнародован хакерской группой Shadow Brokers в апреле прошлого года. Менее чем через месяц он был использован для распространения вымогательской программы WannaCry, а в конце июня с его помощью была запущена киберкампания NotPetya. В октябре 2017 года аналитики исследовательской компании Talos сообщили, что разработчики вируса-шифровальщика Bad Rabbit также использовали модифицированную версию эксплоита EternalBlue под названием EternalRomance.