Tech

Még pusztítóbb kártevőt fedeztek fel

A május 12-én indult, gigászi zsarolóvírusos támadássorozatot ugyan sikerült lelassítani, de a kiberbűnözők tovább próbálkoznak. Közben körvonalazódik egy új fenyegetés: az EternalRocks nevű kártevő még a WannaCry-nál is veszélyesebbnek és szívósabbnak ígérkezik.

Újabb kártevőt azonosítottak a szakértők, ami a WannaCry-nál is pusztítóbb lehet. Az „EternalRocks”nevű trójai féreggel eddigi vizsgálataik szerint a harcot is nehezebb felvenni. A kártevőre először Miroslav Stampar, a horvát CERT kiberbiztonsági szakértője figyelt fel, szerinte már május 3. óta keringhet a neten a kód.

Az EternalRocks ugyanazt a windowsos sérülékenységet használja ki, amit a WannaCry – azaz a Microsoft Windows Server Message Block fájlmegosztó technológiában rejlő hibát.

A helyzetet nehezíti, hogy hét olyan exploitot (egy biztonsági rés kihasználására alkalmas program) is felhasznál, ami az amerikai Nemzetbiztonsági Ügynökségtől (NSA) szivárgott ki, míg a WannaCry csak két NSA-eszközt alkalmazott.

Hálózati féregként működik, azaz ha behatol egy rendszerbe, akkor elég egyetlen gép is ahhoz, hogy átterjedjen a hálózatra kapcsolt többi gépre is.

Az EternalRocks az NSA hét megoldását is használja, köztük az EternalChampion, EternalRomance, vagy DoublePulsar névre hallgatókat. Jelenlegi formájában nincsen fertőző eleme, azaz nem zárol fájlokat, nem toboroz gépeket botnetbe, de sebezhetővé teszi a gépeket a távoli hozzáférések számára, amelyeken keresztül bármikor bevethető egy fertőzés.

–  írta a Fortune.

Komoly veszélyt jelent, hiszen olyan sérülékenységet hoz létre, melyen keresztül bárki bevethet egy banki trójait vagy zsarolóvírust, ráadásul a felhasználó észre sem veszi, hogy a féreg a gépén van: nem kap üzenetet a felhasználó, csendben rejtőzködik.

Nincs gyenge pontja

Az EternalRocks azért szívósabb a WannaCry-nál, mert az eddigi vizsgálatok alapján nincsen gyenge pontja (vagy egyelőre nem tudnak róla). A WannaCry-ba ezzel ellenben építettek egy belső kapcsolót (kill switch) azon célból, hogy le lehessen állítani.

A férget nehezebb felfedezni is, mert két lépésben települ az áldozat gépére.

  1. Az első szakaszban az EternalRocks letölt egy Tor-klienst, és csatlakozik a Tor-hálózaton elbújtatott c&c (command and control) szerverhez, ahonnan a parancsokat kapja.
  2. A szerver csak később – az eddigi vizsgálatok szerint 24 óra után – küld neki választ, így a gyanús aktivitást nehezebb felfedezni.

Sosem láttunk még hasonlót

A WannaCry (másnéven WannaCrypt) eddig több mint 300 ezer áldozatot szedett 150 országból. A fájlokat titkosító kártevő nemcsak magánszemélyek gépeire jutott el, de káoszt idézett elő a brit kórházakban, és távközlési cégeket, kormányzati szerveket, cégeket bénított meg.

A ransomware a Windows operációs rendszer egyik sérülékenységét használja ki, amiről az amerikai nemzetbiztonsági ügynökség (NSA) már régóta tudott.

A 22 éves Marcus Hutchinsnak sikerült lelassítania a zsarolóvírus terjedését, aki teljesen véletlenül jött rá arra a módszerre, amivel ugyan megállítani nem tudta, de jelentősen lelassította a támadási hullámot. Felfedezett egy beépített kapcsolót (kill switch), melyet a készítő azért hoz létre, hogy ha szükséges, megállítsa a kártevő terjedését.

Pár napja arra figyelmeztetett: a kiberbűnözők már azon dolgoznak, hogy ismét teljes erejével pusztíthasson a kártevő.

Az NSA eszközeit ellopó Shadow Brokers hackercsoport pedig múlt héten közölte: még több kiberfegyvert fognak árusítani az internetes feketepiacokon, méghozzá előfizetéses rendszerben, havi rendszerességgel. A következő időszakban a mobileszközök, és a Windows 10-es felhasználók kerülhetnek veszélybe, valamint a banki rendszerek, és a rakétaprogramok.

A zsarolóvírus készítői már a visszatérésen dolgoznak
Próbálják kiiktatni a kapcsolót, amivel sikerült lelassítani a támadásokat.

Ajánlott videó

Olvasói sztorik