Новый зловред Olympic Destroyer стирает файлы на сетевом диске и переписывает сам себя

В пятницу, 9 февраля, во время церемонии открытия Олимпийских игр в Пхенчхане организаторы столкнулись с техническими неполадками в системах телекоммуникационной связи и Wi-Fi. Позже выяснилось, что локальную сеть атаковала зловредная программа, названная Olympic Destroyer.

Эксперты Cisco Talos изучили код Olympic Destroyer и опубликовали отчет по результатам исследования. Обозреватель Bleeping Computer выделил ключевые особенности новой угрозы.

Стиратель

Olympic Destroyer не крадет данные с атакованных хостов, а стирает их. Программа не может вывести из строя систему, поэтому удаляет важные файлы на общих дисках, что препятствует согласованной работе организаторов.

Мутации

Olympic Destroyer использует механизм самозаполнения, позволяющий ей мутировать и развиваться, продвигаясь от одного зараженного хоста к другому. Программа берет список учетных данных, найденных на локальном компьютере, и генерирует для себя новый двоичный код, который затем сбрасывается на другой компьютер той же локальной сети. Это позволяет ей собирать со временем все больше и больше конфиденциальной информации.

Уязвимость

Но подобные мутации все же не объясняют проникновения Olympic Destroyer в защищенные локальные сети. Причину раскрыла Microsoft.

Как выяснили специалисты команды Windows Defender, Olympic Destroyer проникает через уязвимость NSA EternalRomance. Эту брешь и схожую с ней EternalBlue использовали в прошлом году вирусы-вымогатели вроде Petya и Bad Rabbit.

С первой атаки прошло меньше недели. Специалисты продолжают исследовать Olympic Destroyer, поэтому со временем могут раскрыться другие особенности новой угрозы.