Атаки программ-вымогателей продолжают эволюционировать, эксплуатируя уязвимости, о которых часто забывают. Одним из таких слабых мест стал неправильно настроенный протокол Server Message Block (SMB), который используется для обмена файлами и ресурсами в сети. Оставленные без защиты SMB-сервисы становятся лёгкой добычей для киберпреступников.
По данным исследователей Seqrite Labs, группа хакеров под названием WantToCry (связь с WannaCry не установлена) активизировала атаки в 2024 году, используя уязвимости SMB, SSH, FTP и других сетевых сервисов. Основной метод компрометации – подбор паролей, основанный на обширной базе учётных данных. После получения доступа злоумышленники шифруют файлы на сетевых дисках и устройствах хранения данных, оставляя жертве записку с требованиями выкупа.
Хотя программное обеспечение безопасности и средства обнаружения угроз становятся более совершенными, преступники тоже не стоят на месте. WantToCry не только использует брутфорс-атаки, но и шифрует файлы удалённо, без загрузки вредоносного ПО на локальные машины. Такой подход позволяет избежать детектирования антивирусами и усложняет анализ инцидента .
Обнаруженные индикаторы компрометации указывают на активные IP-адреса, использовавшиеся для атак. В случае компрометации злоумышленники предлагают связаться через зашифрованные каналы связи, такие как Telegram и Tox. После успешного шифрования файлы получают расширение “.want_to_cry”, а в каталогах создаётся текстовый файл с инструкциями по оплате выкупа.
Основная проблема заключается в том, что SMB часто остаётся открытым для доступа без пароля или с устаревшими учётными данными. Это позволяет хакерам не только шифровать файлы, но и перемещаться по сети, атакуя другие устройства. Публично доступные SMB-сервисы слабо защищены и часто становятся целью автоматических атак.
Чтобы избежать подобных инцидентов , специалисты рекомендуют отключать SMB при отсутствии необходимости в его использовании, а также закрывать доступ к портам 445 и 139 из интернета. Кроме того, важно применять надёжные пароли, регулярно обновлять программное обеспечение и настраивать многофакторную аутентификацию.
Использование современных антивирусных решений и средств мониторинга сети позволяет обнаруживать подозрительную активность на ранних этапах. Однако даже самый мощный инструмент не защитит от человеческого фактора – правильная настройка сетевой безопасности остаётся ключевым аспектом в борьбе с кибер угрозами .