Остерегайтесь подражателей WannaCry: сервисные центры LG подвергаются атаке программ-вымогателей

Как я уже отмечал ранее, популярные вредоносные программы довольно часто подвергаются различным изменениям со стороны вредоносных кодеров. Это может означать, что исходный код вируса расширен, или это также может означать, что существуют вирусы-подражатели, имитирующие исходную угрозу. Исследователи безопасности отмечают эту тенденцию в отношении программ-вымогателей, особенно подражателей WannaCry, которые имитируют печально известную программу-вымогатель. Мало того, что оригинальный WannaCry по-прежнему представляет угрозу, подразделениям безопасности крупных компаний особенно приходится бороться с реальностью подражателей WannaCry.

Самый свежий пример — атака на сервисные центры LG в Южной Корее. Как Шин Джи-Хе сообщила в The Korea Herald, «сервисные центры LG подверглись атаке программ-вымогателей», и в результате «в тот же день фирма сообщила об этом случае в государственное Корейское агентство Интернета и безопасности (KISA) после прекращения использования устройства».

В официальном заявлении LG указывалось, что никакие конфиденциальные данные не были скомпрометированы, а также не было какого-либо серьезного шифрования и последующего запроса выкупа от злоумышленников. Беспокойство по поводу подражателей WannaCry вызвало расследование, проведенное Корейским агентством Интернета и безопасности.

В заявлении для корейских СМИ KISA заявила следующее:

Мы обнаружили, что образцы вредоносного кода (найденные в киосках LG) идентичны атаке программы-вымогателя WannaCry. Для определения точной причины все еще необходимы дополнительные исследования.

Однако исследователям в области безопасности, возможно, есть с чего начать, и это лежит в основе корпоративной иерархии LG. Под этим я подразумеваю, что, несмотря на бесчисленные предупреждения об исправлении уязвимостей, используемых WannaCry, LG вполне может этого не делать. Как заявил Дин Феррандо, менеджер Tripwire по региону EMEA:

Отчеты предполагают, что компания не применила все обновления безопасности, доступные от Microsoft. Это подчеркивает то, что мы уже знали: многие организации не умеют применять обновления безопасности программного обеспечения.

Я снова и снова пытался прояснить этот момент, как и многие другие в сообществе Информационной безопасности, но кажется, что крупным компаниям особенно трудно нас слушать. Человеческая ошибка, помимо всех других областей, где нарушения безопасности возникают чаще, чем нет.

Будет интересно посмотреть, какую дополнительную информацию KISA сможет раскрыть в ходе своего расследования. Хотя источник атаки не был раскрыт, не исключено, что атака произошла на месте. Эти киоски самообслуживания, и если бы хакер был осторожен, никаких подозрений не возникло бы. Конечно, удаленный доступ также нельзя исключать, и если это действительно была удаленная атака, то у LG есть более серьезные проблемы, чем просто обеспечение безопасности их киосков.

Каким бы ни было расследование KISA, крайне важно, чтобы компании обратили внимание на этот инцидент и обеспечили безопасность общих точек входа для подражателей WannaCry. Самым большим из них является порт SMB 445. Помимо этого, стоит повторить, поскольку люди до сих пор не могут следовать надлежащим протоколам безопасности: исправьте свои чертовы уязвимости!