Специалисты в сфере информационной безопасности из CrowdStrike заявили о существенном росте числа кибератак WannaMine, направленных на скрытый майнинг Monero. Примечательно, что одним из компонентов данной программы является похищенный хакерами эксплоит EternalBlue, ранее использовавшийся Агентством национальной безопасности США.
По утверждениям экспертов, в ряде случаев компании, подвергшиеся атаке WannaMine, была вынуждены останавливать свою деятельность на период от нескольких дней до недель, чтобы выявить все заражённые вредоносной программой приложения на своих устройствах.
“WannaMine попадает в систему в результате перехода пользователем по вредоносной ссылке, указанной в электронном письме либо размещённой на веб-странице. Проникая в систему, вредоносный скрипт задействует такие легитимные приложения, как PowerShell и Windows Management Instrumentation”, — отмечено в сообщении CrowdStrike.
Помимо компонента EternalBlue хакерская программа использует утилиту Mimikatz, позволяющую получать логины и пароли из памяти компьютера. А EternalBlue приходит на выручку тогда, когда с помощью Mimikatz сделать этого не удаётся. Эксперты сходятся во мнение, что подобная схема работы делает WannaMine серьёзной угрозой для любой системы, даже с самыми последними обновлениями.
Напомним, что впервые атака WannaMine была выявлена осенью минувшего года экспертами Panda Security.