EternalBlue,, которая предположительно, была разработана при поддержке Агентства национальной безопасности (АНБ) США, использовалась в двух масштабных кибератаках. При помощи этой уязвимости распространяется вирус Petya, тоже самое было и в случае с WannaCry, сообщили theRunet эксперты из компании Avast.
«Новая модификация Petya, по-видимому, распространяется с помощью уязвимости EternalBlue, той самой, которая использовалась для распространения WannaCry», — отметил Якуб Кроустек, руководитель вирусной лаборатории Avast. Он также сообщил, что Petya был обнаружен еще в 2016 году.
Новая модификация вируса, по-видимому, распространяется с помощью уязвимости EternalBlue. Эта же программа была задействована при атаке WannaCry. «Особенность этого эксплойта в том, что он работает против уязвимости MS17–010, обновление для которой Microsoft подготовило еще 14 марта», — писал в своем блоге директор АНО «Инфокультура» Иван Бегтин. При этом большая часть пользователей до сих пор не обновила свои системы.
Информация об EternalBlue ранее в этом году появилась на WikiLeaks. На сайте сообщалось, что уязвимости были созданы при содействии АНБ и применялись спецслужбами США. В мае на продажу в «темном интернете» был выставлен еще один эксплоит, разработанный АНБ — EsteemAudit. Он впервые появился в сети в апреле. Тогда хакерская группа Shadow Brokers выложила в интернете сразу несколько инструментов для взлома Windows. Среди них были EnglishmanDentist, EsteemAudit и ExplodingCan. В Avast отметили, что Petya также распространяется через «темный интернет».
Распространять зловред могут не только профессионалы из сферы IT. «Доля распространителей программы достигает 85% с выкупа, 15% достается авторам вируса-вымогателя. Кроме того, авторы Petya предоставляют всю инфраструктуру, C&C-серверы и системы денежных переводов. Это позволяет привлекать для распространения вирусов даже далеких от программирования людей», — рассуждает Кроустек.
WannaCry распространился по компьютерам 12 мая, атаковав компьютеры около 8% организаций со всего мира. Он вошел в тройку наиболее активных семейств вредоносного ПО, говорилось в майском отчете компании Check Point. Глобальная атака через вирус-шифровальщик Petya произошла 27 июня. Как сообщила компания Group-IB, были затронуты компьютеры сотрудников «Роснефти», «Башнефти», Mars, Nivea, TESA и производителя Alpen Gold — компании Mondelez International.
Оба зловреда работают по одинаковому принципу. Блокируют данные на компьютере и требуют выкуп биткоинами в размере $300. При этом в случае WannaCry сумма постепенно возрастала до $600 при отказе от выплаты.
Несмотря на то, что многие все-таки выплачивают вымогателям деньги, доступа к данным они не получают. Мошенники просто не знают, от кого средства поступили, а от кого — нет. Как отмечает The Verge, мошенники. как правило, создают отдельный кошелек при каждой атаке. Таким образом, легко отследить, кто из жертв перевел средства. В случае с Petya, вымогатели просят перевести биткоины каждый раз на один и тот же, а затем послать письмо на [email protected] с идентификационным номером для подтверждения платежа. При этом сумма средств на биткоин-кошельке создателей Petya достигла уже 3.6 BTC, что составляет $9 124. Число транзакций к настоящему моменту достигло 36.
