Hakeri su prošle godine ukrali i objavili način iskorištavanja ranjivosti računala (exploit) kojeg je razvila NSA (National Security Agency). Ovih dana exploit je dobio novu namjenu: rudarenje kriptovaluta.

U travnju 2017. godine hakerska grupa Shadow Brokers pustila je u javnost EternalBlue, exploit za Windowse, koji je nakon samo mjesec dana pretvoren u razarajući ransomware zvan WannaCry. WannaCry ransomware je ucjenjivački malware koji je u masivnom cyber napadu zarazio oko 230 tisuća računala diljem svijeta zaključavajući hard diskove zaraženih računala. Za otključavanje svojih računala svjetski poznate korporacije, bolnice i ministarstva morali platiti određenu svotu u bitcoinu u roku tjedan dana, u protivnom bi svi podaci bili izbrisani.

Danas je exploit EternalBlue dobio novu namjenu, “otmicu” računala u svrhu rudarenja kriptovaluta. Ovaj crv (worm) nazvan je WannaMine i možda se nekima ne čini tako opasan kao WannaCry koji je zaključavao računala, ali CrowdStrike kaže kako zbog WannaMine-a kompanije nisu u mogućnosti raditi danima i tjednima jer WannaMine iskorištava ogromnu snagu procesora kako bi rudarenje bilo izvedivo.

Sve je veći broj zaraženih računala, a dodatan problem stvara teško otkrivanje ovog worma jer WannaMine ne skida nikakve dodatne aplikacije na zaraženo računalo. Računalo se lako zarazi otvaranjem zaraženog e-maila ili internet stranice. Nakon toga WannaMine koristi dvije standardne Windows aplikacije, PowerShell i Windows Managment Instrumentation, kako bi one obavile prljav posao.

Međutim, WannaMine ne iskorištava EternalBlue exploit odmah. Prvo koristi Mimikatz, alat koji iz memorije računala izvlači korisnička imena i lozinke. Ukoliko to slučajno ne uspije, u igru ulazi EternalBlue. Ako je zaraženo računalo dio mreže kao što je to slučaj u uredima kompanija, WannaMine će zaraziti sva računala na mreži.

Kriptovaluta koja se u ovom slučaju rudari je Monero. Monero ne zahtjeva skupu opremu za rudarenje već mu je dovoljna snaga osobnog računala da potajno rudari u pozadini pa tako većina ljudi neće ni uvidjeti da im nešto nije u redu s računalom osim što će računalo biti sporije.

Adyllkuzz je bio prvi worm koji koristio EternalBlue, no WannaMine je daleko sofisticiraniji jer za razliku od Adyllkuzza ne skida nikakve dodatne aplikacije na računalo već koristi alate koji je ionako moguće naći na svim Windows računalima. Tako je antivirusnim programima teže detektirati i blokirati worm koji ne ostavlja nikakav trag na disku računala.

Očekuje se sve više zaraženih računala, a na korisnicima je žele li platiti otkupninu ili ne. Sve dok ne plate WannaMine će rudariti kriptovalute na zaraženim računalima i ostvarivati profit.


Ako vam je ovaj članak koristio, razmislite o tome da nas podržite u daljnjem radu donacijom.