Потери от DDoS
Компания Neustar провела опрос 1010 компаний с целью проанализировать, как много корпоративные пользователи теряют от DDoS-атак [1]. Обнаружилось, что среди респондентов 84% (849 форм) подверглись распределенным атакам на свои ресурсы. Общие потери во всех инцидентах были оценены в 2,2 млрд долл. При этом потери бизнеса от одной атаки составили 2,5 млн долл. Аналитики отмечают, что максимальная мощность атак за прошедшие с прошлого отчета два года возросла в два раза и достигла 50 Гбит/с. Наиболее активной зомби-сетью последнего времени является Mirei, которая в феврале 2017 г. в течение 54 часов блокировала работу одного американского колледжа. По оценкам компании, количество зомби-машин в данной сети составило в апреле 185 тыс. устройств – IP-камер, маршрутизаторов и других под управлением специализированной версии Linux.
Нападение WannaCry
Центральным событием мая стала атака, как показалось сначала, шифровальщика WannaCry [2]. Он распространялся с помощью набора эксплойтов EternalBlue, опубликованного хакерской группировкой The Shadow Brokers. Эксплойт использовал уязвимость в протоколе SMB v1, которая была исправлена еще в марте. Вредонос шифровал важные файлы и требовал за расшифровку эквивалент 300 долл. в биткоинах. Однако авторы не предусмотрели механизма доставки жертве сведений о расшифровке. В результате даже если жертва и платила деньги, то обратно свои файлы получить не могла. Поэтому данный вредонос можно отнести скорее к новому типу DoS-атаки – саботаж шифрованием. В частности, 135 тыс. долл. в биткоинах на счетах этого вредоноса по-прежнему лежат невостребованными.
По оценкам специалистов, зашифровано было более 230 тыс. компьютеров по всему миру, т. е. несколько больше, чем в Mirai. При этом стоимость восстановления зашифрованных данных значительно превышала стоимость прекращения DDoS-атаки. Так что инцидент может обойтись несколько больше чем 2,5 млн долл. на пострадавшую компанию. Предположительно, эпидемию вредоноса организовала северокорейская группировка хакеров, получившая наименование Lazarus Group, однако лингвистический анализ сообщений показывает, что в ней участвовали как китайско-, так и англоговорящие хакеры.
Удаленное управление от Intel
В начале мая компания Intel опубликовала сообщение [3], что в ее технологии для удаленного управления Intel Management Engine обнаружена уязвимость, которая позволяет непривилегированному пользователю сети поднять свои полномочия в системе. Технология используется в корпоративных компьютерах под именем vPro и позволяет удаленно администрировать рабочие места, даже если компьютеры не включены. Как отмечают эксперты, с помощью обнаруженной уязвимости атаковать можно только корпоративные сети, где развернуты продукты Active Management Technology, Intel Small Business Technology или Intel Standard Manageability. По оценкам хакерской поисковой машины Shodan, из Интернета доступно более 7 тыс. компьютеров с открытыми портами технологии vPro. Насколько опасна подобная ситуация, пока не известно, но рекомендуется обновить фирменное программное обеспечение Intel, которое используется для работы с Intel Management Engine.
Уязвимости не для всех
Группа американских сенаторов инициировала работу над созданием документа Protecting Our Ability to Counter Hacking Act, который получил наименование PATCH act («закон об уязвимостях»). В рамках данного законодательного акта предполагается кодифицировать процесс раскрытия информации об уязвимостях (Vulnerabilities Equities Process – VEP), который существует в правительстве США. VEP – это процесс принятия решения заинтересованными ведомствами США о раскрытии той или иной информации об обнаруженных неизвестных уязвимостях в программном обеспечении. На самом высоком уровне правительство принимает решение об использовании найденной уязвимости спецслужбами для их целей или открытой публикации сведений. Информация о данном процессе была обнаружена юристами Electronic Frontier Foundation после обсуждения сведений об уязвимости Heartbleed в OpenSSL – эту уязвимость использовали спецслужбы для разведывательных целей. Предполагается, что закон об уязвимостях будет кодифицировать процесс и сделает его подконтрольным общественности.
Новый сервис «теневого брокера»
Хакерская группировка The Shadow Brokers, которая обнародовала эксплойт EternalBlue, разработанный АНБ для уязвимости, видимо, скрытой от общественности в рамках VEP и исправленной после угрозы The Shadow Brokers опубликовать информацию о ней, в конце мая объявила [5] подписку на новую порцию информации, украденной у разработчиков АНБ. Ежемесячная подписка стоит 100 Zcash (на тот момент примерно 21 тыс. долл.). Подписка проводится в течение июня, а примерно в середине июля будет опубликована первая порция информации, но что будет опубликовано, хакеры не объявляют. В сообщении написано, что информация предлагается не для тех, кто хочет на ней заработать, а для тех, кто готов потерять деньги за ценную информацию, – спецслужб, антивирусных компаний, других хакерских группировок. Так что у специалистов по ИБ отпуск будет веселый.
[1] https://hello.neustar.biz/201705-Security-Solutions-DDoS-SOC-Report-LP.html
[4] https://threatpost.com/patch-act-calls-for-vep-review-board/125783/
[5] http://go.theregister.com/feed/www.theregister.co.uk/2017/05/30/shadow_brokers_subscription_service/