След масираните атаки на WannaCry, които използват NSA уязвимостта EternalBlue, се появиха множество други вируси, които експлоатират същата уязвимост.
Още миналата година специалистите от Panda Security съобщиха за много опасен малуер с името WannaMine. Това е червей от типа cryptojacking, който използва компютрите на жертвите за копаене на криптовалута. Специфичното при него е, че той не използва никакви файлове, за да инфектира Windows машини, което го прави изключително труден за откриване.
Сега от CrowdStrike съобщават, че са видяли повишена активност на CrowdStrike през последните няколко месеца и е нарушил ритъма на работа на много компании, копаейки за криптовалутата Monero.
Както вече споменахме, WannaMine не използва никакви файлове, за да инфектира машините, което не оставя почти никакъв полезен ход на компаниите и на заразените потребители за борба с него. Този малуер използва вградени компоненти в Windows като PowerShell и Windows Management Instrumentation (WMI), което го прави изключително труден за откриване и спиране.
Заразяването става, когато потребителят цъкне на зловреден линк в уеб сайт или в спам имейл. След това WannaMine използва сложни техники, за да зарази и останалите машини в мрежата, посредством кражбата на данните за вписване, използвайки инструмента Mimiktaz. Ако не успее, тогава използва EternalBlue експлойта, за да атакува отдалечените системи.
Разбира се, WannaMine не е единствен по рода си, но повишаването на активнустта му буди тревоги в специалистите. Антивирусният софтуер засега е неспособен да се справи с подобни заплахи, при които няма писане по диска на машината.
