SMB/Exploit.DoublePulsar je backdoor vyvinutý americkou Národní bezpečnostní agenturou, NSA. Infikuje počítače s operačním systémem Windows a stahuje do nich další druhy malwaru. V případě DoublePulsaru jde o sofistikovanou zálěžitost, protože jeho kód zůstává pouze v paměti a infikuje přímo jádro operačního systému napadeného počítače. Má tak dokonalou kontrolu nad systémem,“ vysvětlil novinářům v tiskové zprávě Miroslav Dvořák, technický ředitel české pobočky společnosti ESET. A přestože před rokem tento backdoor pomáhal šířit ransomware WannaCry, podobnou situaci nyní ale podle našich analytiků neočekáváme.

První byl i nadále javový skript JS/CoinMiner s podílem bezmála jedenáct procent. Ten běží na pozadí internetových stránek a zneužívá výpočetního výkonu napadeného zařízení pro těžbu kryptoměn. Našim statistikám vévodí nepřetržitě od ledna letošního roku, přestože jeho podíl v celkovém počtu detekcí škodlivých kódů a potenciálně nechtěných aplikací (PUA) neustále klesá. Mezi deset nejčastějších hrozeb se v dubnu dostala i jeho další varianta Win64/CoinMiner.

Nejčastější internetové hrozby v České republice za duben 2018:

• JS/CoinMiner (10,92 %)
• SMB/Exploit.DoublePulsar (6,07 %)
• JS/Redirector (3,81 %)
• JS/Adware.Agent.T (3,54 %)
• PDF/Fraud (2,97 %)
• JS/Adware.AztecMedia (2,46 %)
• JS/ProxyChanger (2,32 %)
• Win64/CoinMiner (2,13 %)
• Win32/GenKryptik (2,04 %)
• Java/Adwind (1,85 %)

Na rozdíl od většiny typů šifrovacího škodlivého softwaru má tento kód schopnosti podobné červům, které mu umožňují šířit se dál. Díky tomu se WannaCryptor rozšířil opravdu rychle. Obětem ve Velké Británii se na monitorech počítače objevil tento text:Škodlivá kampaň odstartovala ve španělském telekomunikačním sektoru a velice rychle se odtud rozšířila dál. Postihla zejména zdravotnická zařízení ve Velké Británii, ale i různé komerční webové stránky a firemní weby. Lidé z celého světa nám zasílají snímky napadených počítačů z kanceláří, nemocnic a škol, například tento je z Itálie:

Největší problém, s nímž se oběti potýkají, je zašifrování souborů uložených na počítači. Klíč k jejich odšifrování má útočník, který jediný může počítač uvést do původního stavu a odšifrovat soubory. Tato situace může mít vážné následky, zejména ve zdravotnictví. Zašifrované záznamy o pacientech, lékařské soubory – to vše může být zablokováno, pokud daná organizace nemá spolehlivou zálohu, díky níž by mohla tato data obnovit.

Výkupné požadované za dešifrování souborů se pohybuje okolo 300 dolarů (7 500 korun), což je o něco méně, než bývá u ransomware běžné. Škody způsobené tímto škodlivým kódem ale budou značné, zejména kvůli ztraceným souborům a dalším vedlejším škodám způsobeným tímto malware.

Jak se chránit před WannaCryptorem?

Naštěstí existuje několik možností, jak se ochránit před touto nejnovější hrozbou. Pokud se chcete vyhnout problémům, měli byste co nejdříve podniknout několik následujících kroků:

Nainstalujte si bezpečnostní software

Možná jste to už od někoho slyšeli a opakuje se to znovu a znovu. Někteří lidé tvrdí, že jim stačí aktualizovaný firewall nebo že jim instalace antivirového programu způsobuje problémy. Toto není argument. Nainstalujte si co nejdříve prověřený a kvalitní antivir a zlepšete svoji obranu proti těmto útokům.
Modul síťové ochrany společnosti ESET blokoval pokusy o zneužití zranitelnosti, které využili tvůrci WannaCryptoru, dokonce ještě předtím, než byl tento malware vytvořen. ESET proto zvýšil úroveň ochrany před touto konkrétní hrozbou, kterou detekuje jako Win32/Filecoder.WannaCryptor.D aktualizací detekčního modulu 15404 (12. května 2017, 15:20 CET). ESET LiveGrid ale poskytoval ochranu před tímto škodlivým útokem již od pátečních 13:26 hodin.

Rádi bychom vás ubezpečili, že uživatelé produktů #ESET byli a jsou proti hrozbě ransomware #WannaCry chránění. pic.twitter.com/S82b8uoTW3

— ESET Česká republika (@esetcz) May 17, 2017

Aktualizujte prosím své operační systémy Windows

Chápeme, že nasazení bezpečnostních záplat v celé síti může být obtížné. Tuto aktualizaci rozhodně nainstalujte. K dispozici je od poloviny dubna a skutečně zabraňuje zneužití vašich počítačů v této konkrétní kampani. Seznam patchů a kompletní seznam souborů skupiny Equation naleznete zde.
Další informace o hrozbě WannaCryptor a strategii ochrany vyvinuté společností ESET naleznete v naší databázi znalostí. Chcete-li zjistit, kolik peněz útočníci obdrželi prostřednictvím bitcoinových fondů během tohoto útoku, podívejte se na tento odkaz.

Ochrana i pro Windows XP

Pokud máte počítač s operačním systémem Windows XP, Windows 8 nebo Windows Server 2003, pro které nebyla vydána žádná ekvivalentní oprava, máte štěstí. Společnost Microsoft mimořádně kvůli kampani WannaCryptoru vydala veřejné aktualizace pro tyto verze svého operačního systému. Tyto aktualizace by měly být zpravidla zpřístupněny jen těm, kteří mají s Microsoftem uzavřeny smlouvy o podpoře, na jejichž základě mohou zákazníci dostávat aktualizace pro ty verze operačních systémů, které už nejsou veřejně podporovány. Používáte-li takové systémy, které již nemohou být aktualizovány, pečlivě zvažte, zda počítače, na kterých je používáte, v dlouhodobém horizontu zcela neizolovat od přístupu k internetové síti.

Pokud jste si ještě neinstalovali záplatu na vaše Windows, udělejte to co nejdříve

Možná jste zaznamenali, že kdosi byl schopen „vypnout“ tento útok registrováním určité internetové domény („Jak náhodně zastavit globální počítačový útok“). Ačkoli to vypadá, jako by dotyčný vykoupil celý svět, v žádném případě tom neznamená, že nepřijdou další útoky. Ve skutečnosti již existují informace o aktualizacích škodlivého softwaru, které neobsahují přepínač kill.

Jinými slovy, pokud jste si ještě neinstalovali záplatu na vaše Windows, udělejte to co nejdříve! K tématu ransomware WannaCry jsme připravili video:

Britská centrála pro kybernetickou bezpečnost vychází při své analýze z „širšího souboru zdrojů“ než soukromé bezpečnostní společnosti, které dospěly ke stejnému závěru již koncem května, uvedla BBC. NCSC ale nechtěla důkazy o podílu skupiny Lazarus specifikovat. Centrála míní, že tvůrci kampaně nebyli motivováni finančním ziskem. Je pravděpodobné, že šlo spíše o určitý test. Dosavadní důkazy o spojitosti mezi severokorejskou skupinou hackerů a ransomware WannaCry byly nepřímé.

Ransomware WannaCry napadl od 12. května stovky tisíc zařízení ve 150 zemích světa. Škodlivý kód využil zranitelnosti systému Windows SMB a speciálního programu americké agentury na kybernetickou ochranu NSA.

„Jakmile je zařízení infikováno, EternalRock je může kdykoli zneužít, bez ohledu na pozdější instalaci bezpečnostních záplat,“ konstatuje Stampar. Červ infikuje počítače pomocí šesti unikátních nástrojů NSA: EternalBlue (ten využíval ke svému šíření ransomware WannaCry), EternalChampion, EternalRomance, EternalSynergy, SMBTouch a ArchiTouch. Sedmý nástroj, DoublePulsar, používá pro šíření na nová zařízení a zůstává na infikovaných strojích jako jakýsi „implantát“. Jde o otevřený nástroj, takže jiní hackeři jej mohou využít jako zadní vrátka pro infikování počítače dalšími druhy malware.

EternalRocks je podle Miroslava Stampara zákeřný i v tom, že po infikování zařízení na 24 hodin přestane vyvíjet jakoukoli činnost a teprve poté se spojí se vzdáleným řídícím serverem. Díky tomu se dokáže vyhnout bezpečnostním analytikům. Rovněž neobsahuje doménu, jejímž prostřednictvím bylo možné dočasně vypnout předchozí typ ransomware WannaCry. Ten kromě zmíněného nástroje EternalBlue využíval ke svému šíření také DoublePulsar.