Спільнота експертів з питань безпеки продуктів Microsoft Microsoft Security Intelligence нещодавно опублікувала звернення у Twitter, щоб закликати користувачів Windows встановити необхідні оновлення. Дослідницька команда Microsoft Defender ATP опублікувала детальне підтвердження поточної активності BlueKeep, що доповнило інформацію про атаки, здійснені за допомогою цього експлойта у вересні.
Дослідники попередили Microsoft, Агентство національної безпеки (АНБ) та уряд США, що наступна хвиля атак може розпочатися незабаром. Тепер у Microsoft повідомили, як вона співпрацювала з дослідниками безпеки, які спочатку бачили аварії на “приманках” для BlueKeep та здогадалися, що це саме BlueKeep. Це перше розслідування та аналіз, які підтвердили, що збої були спричинені саме експлойтом BlueKeep, повідомляє Forbes.
Дослідницька група Microsoft Defender ATP повідомила, що Microsoft заздалегідь розгорнула поведінкове виявлення в ATP Microsoft Defender для відповідного модуля BlueKeep Metasploit ще на початку вересня. Однак, починаючи з 6 вересня, коли модуль Metasploit був випущений, Microsoft помітила, що це виявлення спрацьовує, і почала збирати критичні сигнали безпеки для аналізу. Цей аналіз показав збільшення кількості збоїв у службі віддаленого робочого столу (RDP) з десяти до 100 щодня. Тоді справи йшли відносно спокійно до 9 жовтня, коли було відмічено аналогічне зростання помилок у пам’яті. Потім 23 жовтня почалися збої на зовнішніх “приманках”- це машини, які не захищені антивірусами та призначені для реєстрації саме таких атак.
“Дослідники з питань безпеки Microsoft виявили, що в попередній кампанії зараження вірусом-майнером у вересні було використано основний модуль, який пов’язаний з тією ж інфраструктурою командування та контролю, що використовувався під час жовтневої кампанії BlueKeep Metasploit, – йдеться у звіті. – Цей модуль у випадках, коли застосування експлойта не призводило до збоїв у роботі системи, встановлювався разом з майнером”.
Дослідники Microsoft роблять висновок, що за обидві кампанії відповідали однакові зловмисники – в обох випадках вірус-майнер підключався до інфраструктури управління, розташованої в Ізраїлі.
Але реально експлойт BlueKeep не настільки успішний, оскільки, схоже, зловмисник шукає вразливі системи з непропатченою Windows та портами RDP 3389, відкритими для Інтернеті. Зловмисники , що стоять за атакою, можуть мати пріоритет, щоб скинути якомога більше шкідливих навантажень, ніж видобувати криптовалюти, і коли понад 500 000 вразливих систем Windows залишилися без виправлень, Microsoft тепер додала цьому фактору значну важливість.
Користувачам з будь-якими машинами під керуванням Windows 7, Windows Server 2008 або Windows Server 2008 R2 “пропонується негайно визначити та оновити вразливі системи”, – зазначили в Microsoft. Це може бути простіше сказати, ніж зробити, враховуючи, що Microsoft також визнає, що багато непропатчених пристроїв можуть бути “непідконтрольними” пристроями від постачальників чи інших третіх сторін для “періодичного управління послугами клієнтів”. Поради щодо пом’якшення наслідків залишаються такими ж, як і з 14 травня, коли Microsoft випустила патч безпеки, щоб виправити вразливість BlueKeep – встановити оновлення для операційної системи.
Нагадаємо, починаючи з 7 листопада, Microsoft почала поставляти гарнітуру доповненої реальності HoloLens другого покоління клієнтам, які попередньо замовили пристрій.
Окрім цього, дослідники з безпеки виявили низку уразливостей в прошивці декількох маршрутизаторів Cisco для малого бізнесу.
Також кіберполіція викрила колишнього адміністратора одного з відомих хакерських форумів. 33-річний мешканець Чернігова раніше проходив службу у лавах Збройних сил України, обіймаючи посаду інженера комп’ютерних мереж.
Зверніть увагу, дії в Інтернеті передбачають обмін певною особистою інформацією чи конфіденційними даними, які у разі вашої неуважності можуть опинитися в руках зловмисників. Для забезпечення захисту Ваших персональних даних під час роботи в Інтернет-мережі дотримуйтесь основних правил кібергігієни.
До речі, на Pwn2Own 2019 Токіо за два дні змагань “зламали” пристрої Amazon Echo, Xiaomi Mi9 та Galaxy S10. Хакери заробили $ 315 тисяч, загальний фонд призових заходу – $ 750 тисяч.
