Эпидемия Smominru: вирус-майнер «заработал» уже $3,6 млн с помощью эксплойта АНБ

Специализирующаяся на кибербезопасности компания Proofpoint объявила об обнаружении нового вируса-майнера, заразившего уже более полумиллиона компьютеров с помощью эксплойта EternalBlue. Ранее этой же уязвимостью, работу над которой приписывают Агентству национальной безопасности США, пользовался нашумевший шифровальщик WannaCry, говорится в отчете специалистов.


Исследователи сообщают о новом ботнете Smominru (или Ismo), использующем эксплойт EternalBlue (CVE-2017-0144) в операционных системах Windows для добычи криптовалюты Monero. Секретные сведения об уязвимости и исполняемый код были опубликованы хакерской группой The Shadow Brokers 14 апреля 2017 года.

По данным Proofpoint, Smominru заразил уже более 526 тысяч компьютеров — в основном серверы, использующие версии Windows без необходимых обновлений. Отмечается, что большинство зараженных систем расположено в России, Индии и Тайване.

«C помощью ресурсов зараженных систем ботнет добывает порядка 24 монет в день ($8500). Всего же им было получено уже 8900 монет — порядка $3,6 млн», — говорится в отчете.

Также отмечается, что инфраструктура Smominru построена на основе сервиса защиты от DDoS-атак SharkTech, создатели которого были уведомлены о неправомерном использовании, однако, судя по всему, проигнорировали данную информацию.

По данным исследователей, хакеры запустили как минимум 25 машин для сканирования интернета в поисках уязвимых компьютеров, также они используют для заражения другой «утекший» эксплойт АНБ — EsteemAudit (CVE-2017-0176).

«С тех пор как добыча биткоина начала требовать слишком много ресурсов, значительно вырос интерес к Monero. И хотя монету уже невозможно добывать на домашних компьютерах, подобный распределенный ботнет все еще может оказаться очень прибыльным для своих владельцев», — заключили исследователи.

Еще одна компания в сфере кибербезопасности, CrowdStrike, опубликовала информацию о другом майнере, использующем EternalBlue — WannaMine. Он также добывает Monero.

Из-за того что WannaMine не скачивает на зараженные компьютеры какие-либо приложения, его достаточно сложно найти с помощью антивирусов. Исследователи CrowdStrike отмечают, что вредоносная программа «прерывала работу различных компаний на дни и недели».

Стоит отметить, что в прошлом году компания Microsoft устранила уязвимость EternalBlue в серии обновлений MS17-010, причем патчи были выпущены даже для официально не поддерживаемых операционных систем: Windows XP, Windows Vista и Windows Server 2003. Таким образом, в настоящее время главной защитой от подобных вирусов является своевременное обновление программного обеспечения.

В то же время Microsoft подтвердила, что уязвимости были подвержены все версии Windows, начиная с Windows XP и заканчивая Windows Server 2016, то есть эксплойт оставался без внимания на протяжении по крайней мере 16 лет.

Первое публичное его использование было зарегистрировано 21 апреля 2017 года, когда программа-бэкдор DoublePulsar, основанная на коде АНБ, поразила свыше 200 тысяч компьютеров в течение нескольких дней. 12 мая 2017 года появился шифровальщик WannaCry, использовавший EternalBlue и код DoublePulsar, который поразил десятки тысяч компьютеров в интернете.

Иронично, что 23-летний британский эксперт по кибербезопасности Маркус Хатчинс, которому в мае 2017 года удалось остановить распространение WannaCry, уже 2 августа был задержан агентами ФБР. Мужчину обвинили в создании в 2014 году банковского трояна Kronos и распространении хакерских инструментов.

Напомним, в середине января специалист по информационной безопасности и создатель сайта Bleeping Computer Лоуренс Абрамс обнаружил новую версию вируса-шифровальщика HC7, создатели которой требуют от своих жертв выкуп в Ethereum.