Зловред EternalRocks – 7 эксплойтов из «коллекции» АНБ США

Специалист хорватского CERT Мирослав Стампар сообщил об обнаружении нового зловреда, получившего название EternalRocks. Первые атаки EternalRocks, по его словам, были зафиксированы еще 3 мая, однако лавинообразный их рост начался в минувшую среду. EternalRocks можно считать «родственником» червя-шифровальщика WannaCry, инфицировавшего свыше 300 тысяч компьютеров в 150 странах мира. Он также использует эксплойты, предположительно обнаруженные АНБ США и опубликованные в апреле группировкой Shadow Brokers. Но если WannaCry использует лишь два эксплойта из арсенала спецслужб, то EternalRocks взял на вооружение сразу 7.

Большинство из них эксплуатируют уязвимости протокола SMB. Инфицируя компьютеры, на которых не установлены обновления безопасности, выпущенные Microsoft еще в марте, зловред загружает на них браузер Tor для связи с командными серверами через анонимную сеть. После чего EternalRocks минимум на сутки прекращает всякую активность, что сильно затрудняет его обнаружение. Затем зловред начинает выходить на связь с хозяевами и может использоваться для загрузки дополнительного вредоносного ПО и похищения данных. В настоящий момент неизвестно ни точное число инфицированных им систем, ни то, каким именно вредоносным функционалом наделят его киберпреступники. Однако он может быть самым широким – от шифрования файлов, подобно WannaCry, до использования в качестве банковского троянца для похищения средств со счетов пользователей. Многие эксперты опасаются, что EternalRocks мог инфицировать уже больше компьютеров, чем WannaCry, и момент, когда он начнет свою вредоносную деятельность, станет «судным днем» для пользователей и специалистов по кибербезопасности.