Posle WannaCry preti nam WannaMine

Malver za rudarenje kripto valuta koristi isti NSA exploit EternalBlue kao zloglasni WannaCry ransomware.

Posle WannaCry preti nam WannaMine

EternalBlue je bezbednosna pretnja koju je razvila američka agencija za bezbednost (NSA), a koja je prošle godine procurela u javnost zahvaljujući hakerskoj grupi Shadow Brokers. EternalBlue exploit je korišćen u najvećem WannaCry ransomware napadu na svetu kada je zaraženo više od 230.000 računara u 150 zemalja. Takođe, korišćena je u sofisticiranim napadima koji su žestoko pogodili mrežu širom sveta. Sada napadači koriste EternalBlue kako bi preuzeli računare korisnika za rudarenje kripto valuta.

EternalBlue je u početku korišćen za državno sponzorisane napade, ali sada ga koriste i "obični" sajber kriminalci. Ovakvi napadi, koji su nazvani WannaMine, izgledaju kao manja pretnja od WannaCry ransomwarea zbog toga što ne zaključavaju računare korisnika. Međutim, postoje slučajevi gde je WannaMine zaustavio funkcionisanje određenih kompanija na nekoliko dana, čak i nedelja. Ovaj malver je jako teško detektovati zbog toga što ne downloaduje nikakve aplikacije na pogođene uređaje.

WannaMine

WannaMine je otkriven oktobra 2017, a u poslednjih nekoliko meseci broj napada je u porastu. Ovaj malver može dospeti u vaš računar na više načina. Najčešće se to događa klikom na maliciozni link u emailu (web stranici) ili ciljanim napadom u kome haker dobija pristup vašem računaru sa udaljene lokacije. Kada WannaMine skripta inficira računar, "prljavi posao" obavlja pomoću 2 regularne Windows aplikacije - PowerShell i WMI (Windows Management Instrumentation). PowerShell i WMI su aplikacije koje napadači veoma često zloupotrebljavaju.

WannaMine najpre pomoću Mimikatz alata pokušava da dođe do kredencijala u memoriji računara. Ukoliko to ne upali, onda pokušava sa EternalBlue eksploatacijom. Ukoliko je računar deo lokalne mreže (npr. računar u kancelariji), onda će pomoću ukradenih kredencijala WannaMine inficirati i ostale računare u mreži.

To što WannaMine pored EternalBlue koristi i Mimikatz je bitno jer znači da i sistemi koji su uredno ažurirani mogu biti inficirani. Nakon uspešne infekcije, WannaMine crv koristi dati računar da rudari kripto valutu Monero. Proces se obavlja tiho u pozadini. Monero je popularan kod malver rudara zbog toga što se može rudariti pomoću običnih računara, za razliku od kripto valuta kao što je Bitcoin za čije rudarenje je neophodna skupa i specijalizovana oprema. Obični korisnici najčešće nisu svesni da im je računar zaražen, osim što u nekim slučajevima mogu primetiti značajno usporen rad.

Što se tiče kompanija, kumulativni efekat masovnog inficiranja sistema ovim malverom može ostaviti ozbiljne posledice. Neke kompanije su morale privremeno da obustave poslovanje, jer je WannaMine crpeo previše CPU energije.

Ovo nije prvi malver koji rudari kripto valutu Monero. Pre WannaMine, pojavio se Adylkuzz koji je dowloadovao aplikaciju na računar žrtve. WannaMine je ipak dosta sofisticiraniji jer je "filelless" i zato što eskploatiše postojeće Windows alate, odnosno aplikacije. Zbog toga antivirus teže detektuje ovu pretnju, naročito legacy AV proizvodi.

Izvor: Motherboard