Ίσως θυμάστε την διαρροή NSA, που ονομάζεται EternalBlue, η οποία δημιουργήθηκε από μία ομάδα hackers τον Απρίλιο του περασμένου έτους. Η εκμετάλλευση των Windows χρησιμοποιήθηκε αργότερα για να ξεκινήσει η παγκόσμια διαδικτυακή καταστροφή γνωστή ως WannaCry. Ένα άλλο ransomware, το Wannamine, βασισμένο επίσης στο EternalBlue, ακολούθησε ένα μήνα αργότερα.
Τώρα που η κρυπτογράφηση είναι στα πάνω της και η εξόρυξη το ίδιο, μπορεί να αφήσει ακόμη και τα πιο ισχυρά συστήματα ευάλωτα. Έτσι, δεν θα φαινόταν περίεργο αν υπήρχε ένα κακόβουλο λογισμικό κρυπτογράφησης που να προορίζεται να απορροφήσει την ισχύ της CPU από τα μηχανήματά μας. Στην πραγματικότητα, έχουμε ήδη δει πολλά.
Η εταιρία ασφάλειας στον κυβερνοχώρο Panda Security ανακάλυψε τον περασμένο Οκτώβριο ένα κρυπτογραφημένο κακόβουλο λογισμικό, το οποίο τροφοδοτείται επίσης από το EternalBlue.
Αλλά μια άλλη εταιρεία ασφάλειας που ονομάζεται CrowdStrike δήλωσε την περασμένη εβδομάδα ότι παρατηρήθηκε αύξηση του αριθμού των προσβολών του WannaMine τους τελευταίους μήνες. Το worm εξόρυξης με κρυπτογράφηση συνέχισε να καταστρέφει τις λειτουργίες ορισμένων εταιρειών για μέρες ή και εβδομάδες, ενώ χρησιμοποιούσε τους πόρους του συστήματος για να εξορύξει Monero.
Chatbot ενθάρρυνε έφηβο να σκοτώσει τους γονείς του
RT-G: Ένα... αστυνομικό ρομπότ στην Κίνα!
Το Black Basta Ransomware εξελίσσεται - Προσοχή!
Η λειτουργία του κακόβουλου λογισμικού καθιστά δύσκολο για τις εταιρείες να προβούν σε οποιαδήποτε ενέργεια εναντίον του, καθώς το κακόβουλο λογισμικό εκτελεί απεριόριστη λειτουργία, δηλαδή δεν μεταφορτώνει ή χρησιμοποιεί κανένα αρχείο για να μολύνει ένα σύστημα. Το WannaMine λαμβάνει τη βοήθεια των ενσωματωμένων στοιχείων των Windows, όπως το Windows Management Instrumentation (WMI) και το PowerShell, για να κάνει τη δουλειά του, καθιστώντας πολύ δύσκολο τον εντοπισμό και τη διακοπή του κακόβουλου λογισμικού.
Το WannaMine χρησιμοποιεί προηγμένες τεχνικές για τη μετάβαση από το ένα σύστημα στο άλλο σε ένα δίκτυο. Πρώτον, χρησιμοποιεί το εργαλείο Mimiktaz για να εξαγάγει τα διαπιστευτήρια σύνδεσης ενός συστήματος. Σε περίπτωση που αποτύχει, χρησιμοποιεί το EternalBlue exploit για να επιτεθεί στο απομακρυσμένο σύστημα.
Μια συσκευή μπορεί να μολυνθεί από το WannaMine όταν ο χρήστης κάνει κλικ σε έναν κακόβουλο σύνδεσμο σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου ή σε έναν ιστότοπο. Ο επιτιθέμενος μπορεί επίσης να εκκινήσει μια επίθεση απομακρυσμένης πρόσβασης στο στόχο του.
Το CrowdStrike αναφέρει ότι οι επίμονοι μηχανισμοί και οι τεχνικές διάδοσης που χρησιμοποιούνται από το WannaMine είναι παρόμοιες με εκείνες που αξιοποιούν οι εθνικές αρχές και οι επιθέσεις φαίνεται να δείχνουν τάσεις που θολώνουν τις γραμμές μεταξύ εθνικής πολιτείας και κοινής τακτικής στον κυβερνο-εγκληματικό τομέα. Αλλά είναι διαφορετικό από το ransomware της WannaCry, δεν κλειδώνει τους ανθρώπους έξω από τους υπολογιστές τους, καθώς παράγει ήδη ψηφιακά χρήματα από κρυπτοσυχνότητες εξόρυξης.
Το WannaMine δεν είναι το πρώτο του είδους του, αλλά η ατελής λειτουργία του το καθιστά πιο εξελιγμένο από άλλα κρυπτογραφικά προγράμματα όπως το Adyllkuzz, το οποίο μεταφορτώνει μια εφαρμογή που ονομάζεται cpumer. Το λογισμικό AV υπολείπεται των δυνατοτήτων ενώ ενεργεί ενάντια σε τέτοιες απειλές που δεν γράφουν αρχεία στο δίσκο.