«Поверхность обнаружения значительно сокращена»: Sophos предупреждает о новой угрозе — вирусе-вымогателе WantToCry
Эксперты компании Sophos выявили новый штамм вируса-вымогателя под названием WantToCry, который значительно сложнее обнаружить по сравнению с традиционными шифровальщиками благодаря уникальному механизму работы. Этот вредоносный софт может представлять серьезную опасность для бизнеса, используя удаленное шифрование файлов после их извлечения, что минимизирует возможности для его своевременного обнаружения.
Как распространяется WantToCry
В ходе детального анализа специалисты Sophos установили, что злоумышленники сначала используют сканеры, такие как Shodan или Censys, для поиска подключенных к интернету устройств, использующих службу Server Message Block (SMB). SMB — это сетевой протокол общего доступа к файлам, который позволяет компьютерам получать доступ к файлам и другим ресурсам по локальной сети, как если бы они находились на их собственной системе. Он широко применяется в операционных системах Microsoft Windows для обеспечения общего доступа к дискам и сетевой аутентификации, а также позволяет приложениям работать с файлами на удаленных серверах.
После обнаружения служб SMB с открытыми портами TCP 139 и 445, киберпреступники предпринимают попытки подбора стандартных, часто используемых или слабых учетных данных до тех пор, пока не получат доступ.
Необычный механизм шифрования
Однако, проникнув в систему, WantToCry действует не так, как большинство шифровальщиков, которые блокируют файлы непосредственно на зараженном устройстве. Вместо этого злоумышленники сначала извлекают данные на удаленный сервер, где и происходит процесс шифрования. Затем зашифрованные файлы возвращаются обратно на устройства жертв, перезаписывая оригинальные и делая их бесполезными без ключа дешифрования. Этот подход значительно усложняет работу систем безопасности.
"Поверхность обнаружения значительно сокращена, поскольку WantToCry работает без локального выполнения вредоносного ПО, и после компрометации нет никакой активности, кроме извлечения файлов и их перезаписи на диск", — поясняют эксперты Sophos.
Низкие требования выкупа
Еще одной отличительной чертой WantToCry является размер требуемого выкупа. В то время как обычно киберпреступники требуют десятки тысяч, а для корпоративных жертв — до миллионов долларов США за ключ дешифрования, в случае WantToCry сумма варьируется от 600 до 1800 долларов США.
"Эти суммы низки по сравнению с традиционными требованиями выкупа и, вероятно, отражают ограниченный масштаб развертывания вируса", — отмечают в Sophos. "В атаках WantToCry отсутствует активность после вторжения, то есть нет позиционирования вируса для максимального воздействия на скомпрометированную среду. Поэтому вполне вероятно, что во многих случаях шифрование происходит только с файлами, хранящимися на хосте, который предоставил службы SMB в интернет". Специалисты Sophos также сообщили, что операторы WantToCry не имеют собственного веб-сайта и не публикуют списки своих жертв.
