Что такое wannacry: Wannacry — Википедия – Эпидемия шифровальщика WannaCry: что произошло и как защититься

08.09.2020 alexxlab 0

Содержание

Эпидемия шифровальщика WannaCry: что произошло и как защититься

(Пост обновлен 17 мая)

12 мая началась эпидемия трояна-шифровальщика WannaCry — похоже, происходит это по всему миру. Эпидемией мы это называем потому, что очень уж велики масштабы. За один только день мы насчитали более 45 000 случаев атаки, но на самом деле их наверняка намного больше.

Что произошло?

О заражениях сообщили сразу несколько крупных организаций, в том числе несколько британских клиник, которым пришлось приостановить работу. По сторонним данным, WannaCry заразил уже более 300 000 компьютеров. Собственно, именно поэтому к нему и приковано столько внимания.

Больше всего атак пришлось на Россию, но также от WannaCry серьезно пострадали Украина, Индия, Тайвань, всего же мы обнаружили WannaCry в 74 странах. И это за один только первый день атаки.

Что такое WannaCry?

В целом WannaCry — это эксплойт, с помощью которого происходит заражение и распространение, плюс шифровальщик, который скачивается на компьютер после того, как заражение произошло.

В этом и состоит важное отличие WannaCry от большинства прочих шифровальщиков. Для того, чтобы заразить свой компьютер, обычным, скажем так, шифровальщиком, пользователь должен совершить некую ошибку — кликнуть на подозрительную ссылку, разрешить исполнять макрос в Word, скачать сомнительное вложение из письма. Заразиться WannaCry можно, вообще ничего не делая.

WannaCry: эксплойт и способ распространения

Создатели WannaCry использовали эксплойт для Windows, известный под названием EternalBlue. Он эксплуатирует уязвимость, которую Microsoft закрыла в обновлении безопасности MS17-010 от 14 марта этого года. С помощью этого эксплойта злоумышленники могли получать удаленный доступ к компьютеру и устанавливать на него собственно шифровальщик.

Если у вас установлено обновление и уязвимость закрыта, то удаленно взломать компьютер не получится. Однако исследователи «Лаборатории Касперского» из GReAT отдельно обращают внимание на то, что закрытие уязвимости никак не мешает работать собственно шифровальщику, так что, если вы каким-либо образом запустите его, патч вас не спасет.

После успешного взлома компьютера WannaCry пытается распространяться по локальной сети на другие компьютеры, как червь. Он сканирует другие компьютеры на предмет наличия той самой уязвимости, которую можно эксплуатировать с помощью EternalBlue, и если находит, то атакует и шифрует и их тоже.

Получается, что, попав на один компьютер, WannaCry может заразить всю локальную сеть и зашифровать все компьютеры, в ней присутствующие. Именно поэтому серьезнее всего от WannaCry досталось крупным компаниям — чем больше компьютеров в сети, тем больше ущерб.

WannaCry: шифровальщик

WannaCry как шифровальщик (его еще иногда называет WCrypt, а еще, почему-то, порой зовут WannaCry Decryptor, хотя он, по логике вещей, вовсе даже криптор, а не декриптор) делает все то же самое, что и другие шифровальщики — шифрует файлы на компьютере и требует выкуп за их расшифровку. Больше всего он похож на еще одну разновидность печально известного троянца CryptXXX.

Уберполезный пост! Что такое трояны-вымогатели и шифровальщики, откуда они, чем грозят и как с ними бороться: https://t.co/mQZfXSEuiz pic.twitter.com/RlhAs9bdSx

— Kaspersky (@Kaspersky_ru) October 20, 2016

Он шифрует файлы различных типов (полный список можно посмотреть тут), среди которых, конечно же, есть офисные документы, фотографии, фильмы, архивы и другие форматы файлов, в которых может содержаться потенциально важная для пользователя информация. Зашифрованные файлы получают расширение .WCRY (отсюда и название шифровальщика) и становятся полностью нечитаемыми.

После этого он меняет обои рабочего стола, выводя туда уведомление о заражении и список действий, которые якобы надо произвести, чтобы вернуть файлы. Такие же уведомления в виде текстовых файлов WannaCry раскидывает по папкам на компьютере — чтобы пользователь точно не пропустил. Как всегда, все сводится к тому, что надо перевести некую сумму в биткоин-эквиваленте на кошелек злоумышленников — и тогда они якобы расшифруют файлы. Поначалу киберпреступники требовали $300, но потом решили поднять ставки — в последних версиях WannaCry фигурирует цифра в $600.

Также злоумышленники запугивают пользователя, заявляя, что через 3 дня сумма выкупа увеличится, а через 7 дней файлы невозможно будет расшифровать. Мы не рекомендуем платить злоумышленникам выкуп — никаких гарантий того, что они расшифруют ваши данные, получив выкуп, нет. Более того, в случае других вымогателей исследователи уже показывали, что иногда данные просто удаляют, то есть и возможности расшифровать не остается физически, хотя злоумышленники требуют выкуп как ни в чем не бывало.

Как регистрация домена приостановила заражение и почему это еще не все

Интересно, что исследователю под ником Malwaretech удалось приостановить заражение, зарегистрировав в Интернете домен с длинным и абсолютно бессмысленным названием.

Оказывается, некоторые образцы WannaCry обращались к этому домену и, если не получали положительного ответа, устанавливали шифровальщик и начинали свое черное дело. Если же ответ приходил (то есть домен был зарегистрирован), то зловред сворачивал какую-либо деятельность.

Обнаружив отсылку к этому домену в коде трояна, исследователь зарегистрировал его, таким образом приостановив атаку. За остаток дня к домену пришло несколько десятков тысяч обращений, то есть несколько десятков тысяч компьютеров удалось спасти от заражения.

Есть версия, что эта функциональность была встроена в WannaCry как рубильник — на случай, если что-то пойдет не так. Другая версия, которой придерживается и сам исследователь: что это способ усложнить анализ поведения зловреда. В исследовательских тестовых средах часто специально делается так, что от любых доменов приходили положительные ответы — и в этом случае в тестовой среде троян бы не делал ничего.

К сожалению, в новых версиях трояна злоумышленникам достаточно поменять доменное имя, указанное в «рубильнике», чтобы заражение продолжилось. Так что, вероятно, первый день эпидемии WannaCry не станет последним.

Способы защиты от WannaCry

К сожалению, на данный момент способов расшифровать файлы, зашифрованные WannaCry, нет. То есть с заражением можно бороться единственным способом — не допускать его.

Вот несколько советов, как избежать заражения или хотя бы уменьшить нанесенный урон:

  • Регулярно делайте резервные копии файлов и храните их на носителях, которые не постоянно подключены к компьютеру. Если есть свежая резервная копия, то заражение шифровальщиком — не трагедия, а всего лишь потеря нескольких часов на переустановку или чистку системы. Лень делать бэкапы самостоятельно — воспользуйтесь встроенным модулем в Kaspersky Total Security, он умеет автоматизировать этот процесс.
  • Устанавливайте обновления ПО. В данном случае всем пользователям Windows настоятельно рекомендуется установить системное обновление безопасности MS17-010, тем более что Microsoft выпустила его даже для официально более неподдерживаемых систем вроде Windows XP или Windows 2003. Серьезно, установите его вот прямо сейчас — сейчас как раз тот самый случай, когда это действительно важно.
  • Используйте надежный антивирус. Kaspersky Internet Security умеет обнаруживать WannaCry как локально, так и при попытках распространения по сети. Более того, встроенный модуль «Мониторинг активности» (System Watcher) умеет откатывать нежелательные изменения, то есть не позволит зашифровать файлы даже тем версиям зловредов, которые еще не попали в антивирусные базы.
  • Если у вас уже установлено наше защитное решение, рекомендуем сделать следующее: вручную запустить задачу сканирования критических областей и в случае обнаружения зловреда с вердиктом MEM:Trojan.Win64.EquationDrug.gen (так наши антивирусные решения определяют WannaCry) перезагрузить систему.

У нас есть отдельный пост с советами для бизнес-пользователей.

кто виноват и что делать — «Хакер»

Содержание статьи

В последние недели атаки вымогателя WannaCry – одна из наиболее популярных тем в СМИ по всему миру. Компании подсчитывают убытки, обычные пользователи паникуют, ИБ-специалисты пытаются разработать дешифровщик и занимаются анализом вируса, а представители индустрии и спецслужб обвиняют в происшедшем друг друга. Чем же WannaCry так отличался от других угроз, почему спровоцировал такую волну обсуждений и, главное, как защититься от подобных атак и быть к ним готовым?

 

Шифровальщики – это не новость

Начнем с того, что ни WannaCry в частности, ни вымогательское ПО в целом – это вовсе не новое явление. Программы блокирующие или затрудняющие работу с операционной системой появились более десяти лет назад, и за прошедшие годы они не претерпели никаких революционных изменений. Шифровальщики и локеры всех мастей всегда стремились к одному — сделать нормальную работу с ОС невозможной (шифруя файлы пользователя, блокируя экран смартфона, не позволяя загрузить операционную систему и так далее), а за разблокировку зараженного компьютера или мобильного устройства всегда требовали выкуп.

WannaCry версия 2.0

WannaCry, также известный под названиями Wana Decrypt0r, WCry, WannaCrypt0r и WannaCrypt, был обнаружен отнюдь не в середине мая 2017 года, когда начались атаки, взбудоражившие весь мир. Впервые вирус был замечен специалистами еще в феврале 2017 года, но не произвел на них большого впечатления, по сути, являясь совершенно заурядным вымогателем, каких в настоящее время насчитываются десятки, если не сотни.

 

Хакерские инструменты АНБ

Почему началась эпидемия, если WannaCry – это рядовой вымогатель? Дело в том, что в середине мая 2017 года разработчики WannaCry выпустили вторую версию вредоноса, после чего тот стал распространяться со скоростью лесного пожара и посеял в сети настоящую панику.

Такой эффективности авторам WannaCry удалось добиться благодаря тому, что они в буквальном смысле взяли на вооружение эксплоиты из арсенала спецслужб.

Еще летом 2016 года группа хакеров, называющих себя The Shadow Brokers, сумела похитить хакерский инструментарий у специалистов АНБ. Долгое время хакеры тщетно пытались продать попавшее в их руки «кибероружие», но им не удалось провести аукцион или найти прямого покупателя, после чего, в апреле 2017 года, группировка опубликовала украденные данные совершенно бесплатно, в открытом доступе.

Именно готовыми инструментами из арсенала АНБ (а точнее эксплоитами ETERNALBLUE и DOUBLEPULSAR) и воспользовались создатели WannaCry, превратив заурядного с технической точки зрения шифровальщика в SMB-червя, от которого на данный момент пострадали уже более 400 000 устройств и сотни организаций по всему миру.

Количество зараженных устройств уже превышает 400 000

 

Уязвимость в протоколе SMB     

Инструменты ETERNALBLUE и DOUBLEPULSAR никак не улучшали функциональность самого шифровальщика, но они позволили WannaCry распространяться через уязвимость в протоколе SMB (Server Message Block).

О том, что в SMB были обнаружены большие проблемы, ][ предупреждал еще в январе и феврале 2017 года. Более того, в марте 2017 года, задолго до того, как WannaCry начал эксплуатировать уязвимости в SMB, компания Microsoft выпустила исправление, представив бюллетень безопасности MS17-010, который полностью устранял проблему. Отметим, что ][ сообщал о выходе этих важных патчей еще в марте, а в апреле текущего года еще раз заострил внимание на том, что Microsoft закрыла большинство брешей, которые эксплуатировало АНБ.

Наряду с другими изданиями и специалистами мы неоднократно предупреждали о том, что вскоре «киберарсенал» АНБ могут начать использовать хакеры. Однако зачастую компании и пользователи не спешат устанавливать обновления, применяют давно устаревшее ПО и мало тревожатся о собственной безопасности.

 

Халатное отношение к безопасности

Паника, которую породили атаки WannaCry – это прямое следствие повсеместного халатного отношения к безопасности. Пользователи искреннее полагают, что не открывая подозрительные письма и не переходя по подозрительным ссылкам, они не могут заразиться вирусом. WannaCry напомнил всему миру, что это не так.

Благодаря тому, что шифровальщик использует ETERNALBLUE и DOUBLEPULSAR, достаточно просто включить уязвимый компьютер, подключенный к интернету. Жертве не придется посещать вредоносные сайты, открывать подозрительные почтовые вложения и вообще что-либо делать. Заражение произойдет автоматически, через эксплуатацию уязвимости в SMB.

К сожалению, ошибочное мнение, которое можно описать словами «зачем я нужен каким-то хакерам, зачем им вообще меня ломать?», очень популярно даже в наши дни. Чтобы понять все глубину этого заблуждения, достаточно осознать, что практически любая информация – это деньги. И речь идет не только о секретах крупных компаний и предприятий, или средней стоимости ворованной банковской карты на черном рынке.

 

Хакеров интересуют все

Как показала практика, пользователи готовы откупаться от злоумышленников, которые зашифровали все файлы на их жестком диске, и платить за «спасение» своих фотографий, рабочих документов, коллекций любимой музыки и других «никому не нужных» вещей.

Также никто не отменял и того факта, что практически любое зараженное устройство, будь то компьютер, роутер, мобильный гаджет или нечто иное, может стать частью крупного ботнета, после чего будет «работать» на преступников. Монетизировать таких ботов можно множеством способов: без ведома владельца устройство может участвовать в DDoS-атаках; пропускать через себя чужой трафик, выступая в роли прокси-сервера; «копать» криптовалюту; скликивать или «просматривать» рекламу и так далее. Таким образом, хакерам нужны и интересны абсолютно все, без исключений, и логика «у меня нечего брать, я никого не интересую» здесь не работает.

Бизнес, в свою очередь, находится в еще более невыгодном положении. Специалисты IT-подразделений вынуждены иметь дело не только с сотрудниками собственных компаний, которые зачастую не имеют даже базовых представлений о «гигиене безопасности», но также должны следить за появлением новых угроз, отражать атаки, поддерживать стабильную работу систем и актуальность ПО.

Современные киберпреступники не только воруют корпоративные секреты, они устраивают DDoS-атаки на предприятия и шантажом заставляют компании заплатить за их прекращение (ведь в противном случае пострадавшие сервисы могут оставаться недоступными на протяжении многих часов или даже дней). Из-за халатности сотрудников в сети компаний то и дело проникают трояны, шифровальщики и другие «бытовые» угрозы, что может привести к самым печальным последствиям.

К примеру, в конце 2016 года из-за атаки обыкновенного шифровальщика HDDCryptor на несколько дней была практически парализована работа San Francisco Municipal Railway (буквально: муниципальная железная дорога Сан-Франциско, сокращено Muni) — организации-оператора общественного транспорта города и округа Сан-Франциско. Тогда 2 112 систем организации из 8 656 оказались заражены HDDCryptor. Пострадали платежные системы, системы, отвечающие за расписание движения, а также почтовая система Muni.

Отказ систем Muni. Фото Colin Heilbut‏

Система, которая включает в себя пять видов общественного транспорта (автобус, троллейбус, скоростной трамвай, исторический электрический трамвай и исторический кабельный трамвай), была вынуждена работать бесплатно, ведь иначе движение общественного транспорта в Сан-Франциско пришлось бы останавливать, и город ждал бы неминуемый транспортный коллапс.

 

Кто виноват?

С одной стороны, косвенно «поблагодарить» за «вымогательский апокалипсис», развернувшийся по всему миру, можно хакерскую группировку The Shadow Brokers. Ведь именно The Shadow Brokers сделала достоянием общественности опасные киберинструменты АНБ.

Однако с тем же успехом обвинить в случившемся можно и сами спецслужбы, которые создали эксплоиты ETERNALBLUE и DOUBLEPULSAR, и долгое время умалчивали о критической уязвимости в SMB. Именно так уже поступил главный юрисконсульт компании Microsoft Брэд Смит (Brad Smith).

Также можно возложить ответственность на компанию Microsoft, которая исправила уязвимости еще в марте 2017 года, подготовила патчи для устаревших, неподдерживаемых ОС в феврале 2017 года, но предпочла не привлекать к проблеме внимания, а также «придерживала» патчи для Windows XP, Windows 8 и Windows Server 2003 до тех пор, пока катастрофа не разразилась в полной мере.

И конечно не стоит забывать о самих создателях WannaCry. До сих пор доподлинно неизвестно, на ком именно лежит ответственность за происшедшее. Как утверждают специалисты компании Symantec и «Лаборатории Касперского», с большой долей вероятности шифровальщика разработали северокорейские хакеры из небезызвестной группировки Lazarus, за которой эксперты наблюдают уже много лет. Специалисты компании Flashpoint, в свою очередь, провели лингвистический анализ WannaCry и обнаружили «китайский след».

Shared code between an early, Feb 2017 Wannacry cryptor and a Lazarus group backdoor from 2015 found by @neelmehta from Google. pic.twitter.com/hmRhCSusbR

— Costin Raiu (@craiu) May 15, 2017

Тем не менее, как уже было сказано выше, настоящий корень проблемы – это халатность и повсеместное невнимание к вопросам информационной безопасности. Патч, защищающий от WannaCry стал доступен еще в марте 2017 года, за два месяца до начала атак. А первые предупреждения об уязвимостях в протоколе SMB появились еще раньше. По сути, все пострадавшие от атак WannaCry поплатились за свою беспечность, так как за два месяца они не сумели найти времени на установку критических обновлений, о выходе которых было широко известно.

 

Как защититься и быть готовым

Если говорить о защите от WannaCry, всем, кто по какой-то причине еще не установил обновление MS17-010, настоятельно рекомендуется сделать это немедленно. Также, учитывая серьезность ситуации, компания Microsoft выпустила экстренные патчи для давно неподдерживаемых ОС: Windows XP, Windows 8 и Windows Server 2003, поэтому пользователям этих систем так же следует озаботиться обновлением.

У тех, кто уже пострадал от деятельности вымогателя, есть шанс восстановить свои файлы, не выплачивая выкуп злоумышленникам. Хотя полноценного дешифровщика для WannaCry все еще нет, эксперты создали несколько инструментов, которые работают с Windows XP и x86-версиями Windows 7, 2003, Vista, Server 2008 и 2008 R2. При соблюдении рядя условий, эти утилиты помогут расшифровать пострадавшую информацию.

Однако нужно понимать, что проблема уже не ограничивается одним только WannaCry. Шифровальщик практически сразу породил множество подражателей, а уязвимость в SMB и инструменты спецслужб уже активно примеряют другие хакеры. Сейчас специалисты сходятся во мнении, что в будущем подобных атак будет становиться только больше, и если WannaCry был достаточно примитивной угрозой, то в дальнейшем атаки станут более комплексными и изощренными.

Эксплоиты АНБ начали использовать задолго до WannaCry и продолжат после. Иллюстрация Secdo

Все вышеописанное подводит нас к очень простому выводу: зачастую, чтобы защитить себя, достаточно соблюдать самые базовые и общеизвестные правила безопасности. В частности, нужно вовремя устанавливать патчи, пользоваться актуальными версиями ПО, не пренебрегать антивирусами и другими защитными решениями. Организациям, в свою очередь, следует чаще проводить для своих сотрудников тренинги и другие мероприятия, посвященные информационной безопасности, со всей серьезностью подходить к соблюдению ИБ-политики, а также не забывать следить за развитием угроз, появлением новых уязвимостей, методик и техник атак.

Хотя эти советы могут показаться слишком уж очевидными, не будем забывать о более чем 400 000 пострадавших от атак WannaCry, которые пренебрегали даже этими банальными правилами.

WannaCry — Википедия

WannaCry (в переводе означает хочется плакать, также известна как WannaCrypt[1], WCry[2], WanaCrypt0r 2.0[3][4] и Wanna Decryptor[5]) — вредоносная программа, сетевой червь и программа-вымогатель денежных средств, поражающая только компьютеры под управлением операционной системы Microsoft Windows. После заражения компьютера программный код червя шифрует почти все хранящиеся на компьютере файлы и предлагает заплатить денежный выкуп в криптовалюте за их расшифровку. В случае неуплаты выкупа в течение 7 дней с момента заражения возможность расшифровки файлов теряется навсегда.

Массовое распространение WannaCry началось 12 мая 2017 года — одними из первых были атакованы компьютеры в Испании, а затем и в других странах. Среди них по количеству заражений лидируют Россия, Украина и Индия[6]. В общей сложности, за короткое время от червя пострадало 500 тысяч компьютеров[7], принадлежащих частным лицам, коммерческим организациям и правительственным учреждениям, в более чем 200 странах мира[8]. Распространение червя блокировало работу множества организаций по всему миру: больниц, аэропортов, банков, заводов и др. В частности, в ряде британских госпиталей было отложено выполнение назначенных медицинских процедур, обследований и срочных операций.

Сетевой червь WannaCry использует для заражения компьютеров уязвимость операционных систем Windows, информация о которой, предположительно, была известна Агентству национальной безопасности (АНБ) США. Хакерской группировкой Equation Group, связанной с АНБ, были созданы эксплойт EternalBlue и бэкдор DoublePulsar, позволяющие использовать данную уязвимость для заражения компьютера и получения доступа к нему. Впоследствии информация об уязвимости и программы для её использования были украдены у АНБ хакерской группировкой The Shadow Brokers и опубликованы в общем доступе[8]. Сам червь WannaCry был создан и запущен неизвестными злоумышленниками с помощью украденной у АНБ информации. Основным подозреваемым считается хакерская группировка Lazarus Group[en], предположительно связанная с правительством КНДР.

Метод атаки

Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор[9].

После запуска вредоносная программа действует как классическая программа-вымогатель: она генерирует уникальную для каждого инфицированного компьютера пару ключей асимметричного алгоритма RSA-2048. Затем WannaCry начинает сканировать систему в поисках пользовательских файлов определённых типов, оставляя критические для дальнейшего её функционирования нетронутыми. Каждый отобранный файл шифруется по алгоритму AES-128-CBC уникальным (случайным) для каждого из них ключом, который в свою очередь шифруется открытым RSA-ключом инфицированной системы и сохраняется в заголовке зашифрованного файла. При этом к каждому зашифрованному файлу добавляется расширение .wncry. Пара RSA-ключей инфицированной системы шифруется открытым ключом злоумышленников и отправляется к ним на серверы управления, расположенные в сети Tor, после чего все ключи из памяти инфицированной машины удаляются. Завершив процесс шифрования, программа выводит на экран окно с требованием перевести определённую сумму в биткойнах (эквивалентную 300 долларам США) на указанный кошелёк в течение трёх дней. Если выкуп не поступит своевременно, то его сумма будет автоматически удвоена. На седьмой день, если WannaCry не будет удалён с инфицированной системы, зашифрованные файлы уничтожаются[10]. Сообщение выводится на языке, соответствующем установленному на компьютере. Всего программой поддерживается 28 языков. Параллельно с шифрованием программа проводит сканирование произвольных адресов Интернета и локальной сети для последующего заражения новых компьютеров[11][12].

Согласно исследованию компании Symantec, алгоритм отслеживания злоумышленниками индивидуальных выплат каждой жертвы и отправки ей ключа для расшифровки реализован с ошибкой состояния гонки. Это делает выплаты выкупа бессмысленными, поскольку индивидуальные ключи в любом случае не будут присланы, а файлы так и останутся зашифрованными. Однако существует надёжный метод расшифровать пользовательские файлы размером менее 200 МБ, а также некоторые шансы восстановить файлы большего размера. Кроме того, на устаревших системах Windows XP и Windows Server 2003 из-за особенностей реализации в системе алгоритма вычисления псевдослучайных чисел даже возможно восстановить закрытые RSA-ключи и расшифровать все пострадавшие файлы, если компьютер не перезагружался с момента заражения[13]. Позднее группа французских экспертов по кибербезопасности из компании Comae Technologies расширила эту возможность до Windows 7 и реализовала её на практике, опубликовав в открытом доступе утилиту WanaKiwi[14], позволяющую расшифровать файлы без выкупа[15][16].

В коде ранних версий программы был предусмотрен механизм самоуничтожения, так называемый Kill Switch (англ.)русск.[10], — программа проверяла доступность двух определённых Интернет-доменов и в случае их наличия полностью удалялась из компьютера. Это 12 мая 2017 года первым обнаружил Маркус Хатчинс (англ.)русск.[17], 22-летний вирусный аналитик британской компании Kryptos Logic, пишущий в Twitter’е под ником @MalwareTechBlog, и зарегистрировал один из доменов на своё имя. Таким образом, ему удалось временно частично[К 1] заблокировать распространение данной модификации вредоносной программы[18][19]. 14 мая был зарегистрирован и второй домен[10]. В последующих версиях вируса данный механизм самоотключения был удалён, однако это было сделано не в исходном программном коде, а путём редактирования исполняемого файла, что позволяет предполагать происхождение данного исправления не от авторов оригинальной WannaCry, а от сторонних злоумышленников. В результате был повреждён механизм шифрования, и данная версия червя может только распространять себя, находя уязвимые компьютеры, но не способна наносить им непосредственный[К 2] вред[20].

Высокая скорость распространения WannaCry, уникальная для программы-вымогателя, обеспечивается использованием опубликованной в феврале 2017 года уязвимости сетевого протокола SMB операционной системы Microsoft Windows, описанной в бюллетене MS17-010[21]. Если в классической схеме программа-вымогатель попадала на компьютер благодаря действиям самого пользователя через электронную почту или веб-ссылку, то в случае WannaCry участие пользователя полностью исключено. Минимальная продолжительность времени между обнаружением уязвимого компьютера и полным его заражением составляет порядка 3 минут[11].

Компанией-разработчиком подтверждено наличие уязвимости абсолютно во всех пользовательских и серверных продуктах, имеющих реализацию протокола SMBv1 — начиная с Windows XP/Windows Server 2003 и заканчивая Windows 10/Windows Server 2016. 14 марта 2017 года Microsoft выпустила серию обновлений, призванных нейтрализовать уязвимость во всех поддерживаемых ОС[21]. После распространения WannaCry компания пошла на беспрецедентный шаг, выпустив 13 мая также обновления для продуктов с истекшим сроком поддержки (Windows XP, Windows Server 2003 и Windows 8).[22][23]

Хронология событий

Страны, подвергшиеся атаке WannaCry

12 мая 2017 года червь распространился по миру. Атаке подверглись многие страны, но больше всего инфицированных компьютеров в нескольких странах — на Украине, в России, Индии и Тайване[24][25][6].

Сначала были атакованы ПК в Испании в компаниях Telefónica, Gas Natural, Iberdrola, занимающейся поставкой электричества, Centro Nacional de Inteligencia, банке Santander и филиале консалтинговой компании KPMG. В Великобритании были инфицированы компьютеры в больницах (NHS trusts)[26], а в Испании — испанская телекоммуникационная компания «Telefónica», одна из крупнейших телефонных компаний в мире (четвёртая по размеру количества абонентов). В Германии были инфицированы компьютеры Deutsche Bahn.

В России пострадали министерства (МВД России[27]), МегаФон[28]. Сообщения об успешных атаках на Сбербанк и МЧС были опровергнуты этими организациями[29]. Пострадали информационные системы РЖД, однако червь был быстро локализован и не повлиял на движение поездов[30]. Также Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (ФинЦЕРТ) сообщил, что были зафиксированы «единичные факты компрометации ресурсов кредитных организаций», но последствия этих инцидентов были устранены в кратчайшие сроки[31].

По состоянию на 13:20 13 мая, по данным сайта MalwareTech BotNet Tracker[32], инфицированы 131 233 компьютеров во всем мире, из них онлайн — 1145.

Renault остановил работу своих заводов, чтобы проверить свои ПК[33].

МВД России хотя сначала и опровергало заражение своей сети, позже подтвердило, что заражение произошло потому, что некоторые сотрудники ведомства подключались к интернету со своих компьютеров «посредством того или иного механизма»[34]. Ирина Волк, официальный представитель МВД России, заявила: «Серверные ресурсы МВД России не подвергались заражению благодаря использованию иных операционных систем и отечественных серверов с российским процессором „Эльбрус“»[35]. Количество заражённых ПК составило около 1000, что составляет около 1 % всего компьютерного парка[35]. В некоторых областях РФ отдельные подразделения МВД временно не работали[36].

По данным Европола, по состоянию на 15 мая, WannaCry заразил порядка 200 тысяч компьютеров в более чем 150 странах мира[37]. Однако прибыль от атаки для злоумышленников оказалась относительно небольшой: к этому времени на указанные биткойн-кошельки было проведено всего лишь 110 транзакций на общую сумму около 23,5 биткойна (примерно 65,8 тысячи долларов США)[38]. В этот же день, выступая на пресс-конференции, президент В. В. Путин, назвал ущерб для страны от всемирной кибератаки незначительным[39].

На 17 мая 2017 г., по мнению компании Symantec, источник и способ первоначального распространения WannaCry неизвестен. Высказанные ранее мнения о том, что атака началась путём рассылки вредоносных сообщений электронной почты, не нашли подтверждения[10].

По состоянию на 26 мая 2017 г., по данным сайта MalwareTech BotNet Tracker, инфицированы более 410 000 компьютеров во всем мире, из них онлайн — 170 000[7].

Для приёма выкупа от жертв используются три прописанных в программе электронных кошелька. Как и во всех таких случаях, их баланс и информация о денежных переводах являются общедоступными, в то время как владелец кошелька остаётся неизвестным[40]. По состоянию на 25 мая 2017 г., на счета злоумышленников совершенно 302 перевода на общую сумму 126 742 долларов США[41].

По состоянию на 6 июня 2017 г., по данным сайта MalwareTech BotNet Tracker, заражены более 520 000 компьютеров и 200 000 IP-адресов.[7]

По мнению некоторых экспертов, распространение вируса могло начаться вследствие утечки до того, как работа над ним была завершена. В пользу незаконченности вируса говорит наличие всего трёх вшитых в код биткойн-кошельков и отсутствие шифрования при обращении к доменам, активирующим механизм самоуничтожения[42].

28 марта 2018 г. операционные системы авиастроительной корпорации Boeing подверглись кибератакам с применением WannaCry. Компанией были оперативно проведены восстановительные мероприятия программного обеспечения, и вирус не повлиял на производственную деятельность Boeing.[43]

Оценки

Международный хакерский конгломерат «Анонимус» высказал своё возмущение деятельностью создателей червя WannaCry в связи с тем, что этим червём были поражены компьютерные сети публичных и медицинских учреждений. Из-за его активизации в ряде британских госпиталей было отложено выполнение назначенных медицинских процедур, обследований и срочных операций. Особое негодование этот факт вызвал у французского подразделения «Анонимус», которое опубликовало сообщение с осуждением кибератак WannaCry и АНБ, которое не сообщало до 12 мая о краже из своих баз данных программного обеспечения, необходимого для работы червя[44].

Бывший сотрудник ЦРУ, а ныне американский диссидент Эдвард Сноуден сделал заявление, что уязвимость операционных систем семейства MS Windows, благодаря которой WannaCry распространялся по планете, была давно известна техническим специалистам АНБ. Однако они не посчитали нужным проинформировать об этом компанию Microsoft, а заявили о ней только тогда, когда заражение компьютеров приобрело массовый характер[45][46].

Авторство программы

14 мая президент и главный юрисконсульт компании Microsoft Брэд Смит заявил, что данный вирус использовал уязвимость, информация о которой была украдена у Агентства национальной безопасности (АНБ) США[47][48].

Позднее, 15 мая президент РФ Владимир Путин напомнил об этих словах руководства Microsoft, назвав спецслужбы США «первичным источником вируса», и заявил, что «Россия здесь совершенно ни при чём»[49][50]. В то же время секретарь Совета безопасности РФ Николай Патрушев заявил об отсутствии доказательств того, что спецслужбы каких-либо стран причастны к массовому распространению по всему миру вируса WannaCry. По его словам, если бы за хакерской атакой стояли спецслужбы, её последствия «были бы значительно более серьёзные». Однако он признал, что в нападении участвовали высококвалифицированные специалисты.[51]

Атака стала возможной благодаря наличию уязвимости в реализации компанией Microsoft сетевого протокола Server Message Block (SMB)[21]. Уязвимость некоторое время была известна Агентству национальной безопасности США и имела реализацию в виде готового инструмента (эксплойта) для проведения атаки EternalBlue. Данный инструмент, в числе многих, попал в распоряжение хакерской группы The Shadow Brokers и был опубликован ею в свободном доступе 14 апреля 2017 года[52][4][53][54][55]. По данным WikiLeaks, изначально EternalBlue был разработан хакерской группой Equation Group, которая была связана с АНБ, а затем выкраден The Shadow Brokers[56].

Анализ программного кода

Эксперты по современной индустриальной кибербезопасности полагают, что исполняемый код червя WannaCry сам по себе не отличается особенной технической изощрённостью[8]. Однако, специалисты Лаборатории Касперского и антивирусной компании Symantec, основываясь на опубликованном исследователем из Google Нилом Мехтой твите, обратили внимание, что сигнатуры кода WannaCry совпадают с сигнатурой кода, предположительно, использовавшегося в феврале 2015 года хакерской группой Lazarus Group[en][57][58], подозреваемой в связях с правительством КНДР. Этой группе приписывается проведение множества громких компьютерных атак 2012—2014 годов, включая атаку на банковскую инфраструктуру SWIFT и взлом серверов Sony Pictures Entertainment[59]. Эту гипотезу на основании собственного исследования подтвердил эксперт южнокорейской компании «Hauri Labs» Саймон Чой (Simon Choi), являющийся советником южнокорейской полиции и Национального агентства разведки. По его словам, код вируса совпадает с северокорейскими кодами вредоносных программ-бэкдоров.[60].

На Западе считают, что Lazarus Group связана с киберподразделением Разведывательного Управления Генштаба[en] КНА КНДР, известным как Подразделение 121 (англ. Bureau 121). В 2015 году перебежчик из КНДР, профессор информатики Ким Хен Кван в беседе с Би-би-си рассказал об этой организации. По его словам, Подразделение 121 — один из приоритетных проектов правительства КНДР, получающий очень серьёзное финансирование. В подразделении служат около 6000 «военных хакеров», в задачи которых входят атаки на инфраструктурные объекты — линии связи и коммуникационные спутники. Хакеров набирают из числа студентов Института автоматизации Политехнического университета имени Ким Чхэка в Пхеньяне.[61]

В то же время, по заявлениям Лаборатории Касперского и Symantec, пока ещё преждевременно делать выводы о том, замешана ли Северная Корея в атаках. Джон Миллер, эксперт компании «FireEye Inc», специализирующейся на кибербезопасности, заявил, что сходства, обнаруженные в кодах вируса WannaCry и группировки Lazarus, недостаточно уникальны, чтобы можно было делать выводы об их происхождении из общего источника[60]. Также фрагменты кода Lazarus Group могли быть просто использованы другой хакерской группой[62][63], в том числе и преднамеренно, с целью запутать следствие и помешать выявить настоящего злоумышленника[58]. Официальный представитель Европола Ян Оп Ген Орт также отметил, что Европол пока не может подтвердить информацию о причастности КНДР[64]. Заместитель постоянного представителя КНДР при ООН Ким Ин Рен назвал подозрения в адрес КНДР «смехотворными»[65].

Позже Национальный центр кибербезопасности Великобритании[en] (NCSC), возглавляющий международное расследование[61], подтвердил гипотезу о причастности Lazarus Group к кибератаке[61]. По словам президента Microsoft Брэда Смита, «на данном этапе все осведомленные наблюдатели заключили, что причиной WannaCry была КНДР, которая использовала киберинструменты или оружие, украденное из Агентства национальной безопасности (АНБ) в США»[66]. С этим мнением согласно и правительство Великобритании[67].

Также, по словам экспертов, временные метки в исходном коде WannaCry установлены в часовом поясе UTC +9[63], в котором расположены некоторые страны Восточной Азии. Сопоставляя время добавления исполняемого файла и первой зафиксированной атаки WannaCry (в Тайване), исследователи заключили, что авторы вируса находятся в часовом поясе UTC +9[68].

Лингвистический анализ

Лингвистический анализ текста с требованием выкупа, проведённый экспертами американской компании Flashpoint, ​работающей в сфере кибербезопасности, показал, что родным языком авторов WannaCry, скорее всего, является южный диалект китайского языка. По их мнению, создателями этой программы, скорее всего, являются жители Гонконга, юга Китая, Сингапура или Тайваня[69][70]. Корейская версия текста написана с ошибками[68]. В то же время, не все эксперты согласны с этими выводами, так как, по их мнению, это может быть целенаправленной маскировкой и запутыванием следов[70]. По словам Сержио де лос Сантоса, главы подразделения кибербезопасности ElevenPaths компании Telefónica, родным языком создателя WannaCry является корейский, потому что именно этот язык был выбран по умолчанию в EMEA-версии Word, используемой для создания RTF-файлов. По его мнению, ошибки в корейском варианте текста с требованием выкупа могут быть намеренной попыткой скрыть свою национальность, и при этом гораздо вероятнее, что автор вируса забыл сменить язык по умолчанию[68].

Ущерб

По оценкам экспертов, за первые четыре дня масштабной кибератаки пострадали около 300 тысяч пользователей в 150 странах мира. Общий ущерб оценён в сумму 1 млрд долларов США[71].

EternalRocks

Хорватский эксперт по кибербезопасности Мирослав Стампар (Miroslav Stampar) с помощью системы Honeypot обнаружил новую вредоносную программу-червя под названием «EternalRocks»(возможно похожа на EternalBlue), которая использует семь украденных у АНБ хакерских инструментов и делает компьютеры, работающие на ОС Windows, уязвимыми для будущих атак, которые могут случиться в любое время.[72][73][74][75][76] При этом данный червь маскируется под WannaCry с целью запутать исследователей.

См. также

Комментарии

  1. ↑ Это, однако, не спасло от поражения компьютеры, доступ в Интернет которых подвергается жёсткой фильтрации (как, например, в некоторых корпоративных сетях). WannaCry в таком случае не находит Kill Switch, заблокированный политикой Интернет-доступа, и продолжает своё вредоносное действие[9].
  2. ↑ Тем не менее, модифицированный WannaCry делает заражённую машину ещё более уязвимой к другим угрозам, использующим бэкдор DoublePulsar.

Примечания

  1. ↑ Customer Guidance for WannaCrypt attacks. Microsoft.
  2. ↑ ВСЕСВІТНЯ КІБЕРАТАКА: ВІРУС ОХОПИВ КОМ’ЮТЕРИ З WINDOWS, ЯКІ НЕ ОНОВИЛИСЯ — ЗМІ. Проверено 13 травня 2017.
  3. ↑ Avast reports on WanaCrypt0r 2.0 ransomware that infected NHS and Telefonica.. Avast Security News. Avast Software, Inc (12 May 2017).
  4. 1 2 Fox-Brewster, Thomas. An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak, Forbes.
  5. Woollaston, Victoria. Wanna Decryptor: what is the ‘atom bomb of ransomware’ behind the NHS attack? (англ.), WIRED UK.
  6. 1 2 GReAT. WannaCry ransomware used in widespread attacks all over the world — Securelist. Лаборатория Касперского (12-5-2017). Проверено 13 мая 2017.
  7. 1 2 3 MalwareTech Botnet Tracker: WCRYPT, MalwareTech botnet tracker
  8. 1 2 3 Pascal Ackerman. Other attack scenarios // Industrial Cybersecurity. Efficiently secure critical infrastructure systems. — Birmingham: Packt Publishing, 2017. — P. 174. — ISBN 978-1-78839-515-1.
  9. 1 2 3 Zammis Clark. The worm that spreads WanaCrypt0r (англ.). Malwarebytes (12 мая 2017 года). Проверено 17 мая 2017.
  10. 1 2 3 4 Ransom.Wannacry. Symantec. Проверено 17 мая 2017.
  11. 1 2 Анализ шифровальщика Wana Decrypt0r 2.0. Habrahabr (14 мая 2017 года). Проверено 16 мая 2017.
  12. ↑ Player 3 Has Entered the Game: Say Hello to ‘WannaCry’ (12 мая 2017 года). Проверено 16 мая 2017.
  13. ↑ Can files locked by WannaCry be decrypted: A technical analysis (15 мая 2017 года). Проверено 17 мая 2017.
  14. Suiche, Matthieu WannaCry — Decrypting files with WanaKiwi + Demos. Comae Technologies (19 May 2017). Проверено 22 мая 2017.
  15. Auchard, Eric French researchers find way to unlock WannaCry without ransom. Reuters (19 May 2017). Проверено 19 мая 2017.
  16. ↑ Во Франции нашли способ обойти вирус-вымогатель WannaCry // Комсомольская правда, 20.05.2017
  17. ↑ ‘Just doing my bit’: The 22yo who blocked the WannaCry cyberattack (en-AU), ABC News (16 мая 2017).
  18. ↑ Вирус Wanna Cry случайно остановил бдительный программист, Взгляд, 13 мая 2017
  19. ↑ Эпидемия шифровальщика WannaCry: что произошло и как защититься
  20. rain-1. WannaCry/WannaDecrypt0r NSA-Cyberweapon-Powered Ransomware Worm. Github.com (22 May 2017). Проверено 22 мая 2017.
  21. 1 2 3 Microsoft Security Bulletin MS17-010
  22. Surur. Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003 (13 мая 2017). Проверено 13 мая 2017.
  23. MSRC Team Customer Guidance for WannaCrypt attacks. microsoft.com. Проверено 13 мая 2017.
  24. Сошников, Андрей. WannaCry: как работает крупнейшее компьютерное вымогательство. «Русская служба Би-би-си» (13 мая 2017). Проверено 14 мая 2017. Архивировано 13 мая 2017 года.
  25. ↑ Масштабна хакерська атака вивела з ладу десятки тисяч комп’ютерів по всьому світу. Проверено 12 травня 2017.
  26. Hern, Alex. What is ‘WanaCrypt0r 2.0’ ransomware and why is it attacking the NHS?, The Guardian (12 мая 2017). Проверено 12 мая 2017.
  27. ↑ Вирус-вымогатель заразил компьютеры МВД России и компании «Мегафон», Рязанский портал ya62.ru (12 мая 2017). Проверено 2 июня 2018.
  28. ↑ У РОСІЇ МАСШТАБНИЙ ВІРУС-ВИМАГАЧ АТАКУВАВ КОМП’ЮТЕРИ МІНІСТЕРСТВ, «СБЕРБАНКА» І «МЕГАФОНА», ТСН, 13 травня 2016
  29. ↑ МЧС и Сбербанк успешно отразили кибератаки WannaCry, НТВ, 12 мая 2017 г.
  30. ↑ В РЖД заявили об отсутствии сбоев в работе компании из-за вирусной атаки // Интерфакс, 13.05.2017
  31. ↑ Об атаке вируса Wannacry // «ФинЦЕРТ» Банка России, 19.05.2017
  32. ↑ MalwareTech Botnet Tracker: WCRYPT Архивная копия от 13 мая 2017 на Wayback Machine, MalwareTech botnet tracker
  33. ↑ Renault остановил несколько заводов после кибератаки // Газета, 13 мая 2017
  34. ↑ WannaCry поразил МВД, потому что полицейские нелегально подключались к интернету
  35. 1 2 Российский процессор «Эльбрус» спас серверы МВД от вируса-вымогателя, атаковавшего компьютеры по всему миру
  36. ↑ В регионах из-за кибератаки управления ГИБДД прекратили выдавать права
  37. ↑ Глава Европола сообщил о 200 тыс. пострадавших от глобальной кибератаки. Interfax (15 мая 2017 года). Проверено 16 мая 2017.
  38. ↑ Создатели вируса WannaCry получили в качестве выкупа $42 тысячи. Interfax (15 мая 2017 года). Проверено 16 мая 2017.
  39. ↑ Путин назвал ущерб от всемирной кибератаки для России незначительным // Риа Новости, 15.05.2017
  40. ↑ Watch as these bitcoin wallets receive ransomware payments from the global cyberattack. Quartz.
  41. ↑ @actual_ransom tweets. Twitter. Проверено 19 мая 2017.
  42. ↑ Эпидемия WannaCry могла произойти из-за случайной утечки. SecurityLab.ru (19 июня 2017).
  43. ↑ СМИ: вирус WannaCry атаковал Boeing
  44. Laurent Gayard. Computer attacks of an unprecedented magnitude // Darknet. Geopolitics and Uses. — Wiley, 2018. — Vol. 2. — P. 123. — ISBN 978-1-78630-202-1.
  45. Laurent Gayard. Computer attacks of an unprecedented magnitude // Darknet. Geopolitics and Uses. — Wiley, 2018. — Vol. 2. — P. 124. — ISBN 978-1-78630-202-1.
  46. ↑ Edward Snowden Slams NSA Over Ransomware Attack новостной журнал Newsweek
  47. ↑ The need for urgent collective action to keep people safe online: Lessons from last week’s cyberattack — Microsoft on the Issues (англ.), Microsoft on the Issues (14 мая 2017). Проверено 16 мая 2017.
  48. Биржевой лидер. Правительства и спецслужбы виновны в атаке вируса WannaCry – Microsoft (рус.). www.profi-forex.org. Проверено 16 мая 2017.
  49. ↑ Путин: первичным источником мировой кибератаки являются спецслужбы США, Газета.Ru. Проверено 16 мая 2017.
  50. ↑ Владимир Путин назвал спецслужбы США источником вируса WannaCry // Коммерсант.ru, 15.05.2017
  51. ↑ Патрушев отказался возложить вину за атаку вируса WannaCry на спецслужбы // Lenta.ru, 16.05.2017
  52. ↑ NSA-leaking Shadow Brokers just dumped its most damaging release yet. Проверено 13 мая 2017.
  53. ↑ An NSA-derived ransomware worm is shutting down computers worldwide. Ars Technica. Проверено 13 мая 2017.
  54. Ghosh, Agamoni. ‘President Trump what the f**k are you doing’ say Shadow Brokers and dump more NSA hacking tools, International Business Times UK (April 9, 2017).
  55. ↑ ‘NSA malware’ released by Shadow Brokers hacker group (англ.), BBC News (April 10, 2017).
  56. ↑ Президент Microsoft рассказал о связи разработок АНБ с недавней кибератакой. Interfax (15 мая 2017 года). Проверено 17 мая 2017.
  57. GReAT. WannaCry and Lazarus Group – the missing link?. Securelist (15 мая 2017 года). Проверено 17 мая 2017.
  58. 1 2 WannaCry ransomware has links to North Korea, cybersecurity experts say // The Guardian, 15.05.2017
  59. ↑ Cyber security firm: more evidence North Korea linked to Bangladesh heist. Рейтер (3 апреля 2017 года). Проверено 17 мая 2017.
  60. 1 2 Researchers see possible North Korea link to global cyber attack
  61. 1 2 3 Центр кибербезопасности Британии: вирус WannaCry запущен из КНДР // Би-би-си, 16.06.2017
  62. Eric Talmadge. Experts question North Korea role in WannaCry cyberattack (англ.) (12 May 2017). Проверено 2 июня 2018.
  63. 1 2 В создании вируса WannaCry подозревают Северную Корею // Би-би-си, 16.05.2017
  64. ↑ Европол не может подтвердить, что вирус WannaCry был создан в КНДР // РИА Новости, 16.05.2017
  65. ↑ КНДР считает смехотворными заявления о причастности к мировой кибератаке // Известия, 19.05.2017
  66. ↑ Президент Microsoft считает, что за кибератаками WannaCry стоит КНДР // РИА Новости, 14.10.2017
  67. ↑ Власти Британии уверены, что за хакерской атакой WannaCry в мае стоит КНДР // РИА Новости, 27.10.2017
  68. 1 2 3 Создателем WannaCry может быть корейский фанат Лионеля Месси. SecurityLab.ru (16 июня 2017).
  69. ↑ Хакеров подвел Google-переводчик. Эксперты определили национальность создателей вируса WannaCry // Газета, 29.05.2017
  70. 1 2 Эксперты назвали возможных создателей вируса WannaCry // РБК, 29.05.2017
  71. ↑ Эксперты оценили ущерб от вируса WannaCry в $1 млрд (рус.). runews24.ru. Проверено 25 мая 2017.
  72. ↑ Червь EternalRocks использует сразу 7 эксплоитов АНБ
  73. ↑ 7 NSA hack tool wielding follow-up worm oozes onto scene: Hello, no need for any phish! (17 May 2017).
  74. ↑ EternalRocks worm uses seven NSA exploits (WannaCry used two) (англ.). CNET. Проверено 23 мая 2017.
  75. ↑ New SMB Worm Uses Seven NSA Hacking Tools. WannaCry Used Just Two (en-us). BleepingComputer.
  76. ↑ EternalRocks: New Malware Uses 7 NSA Hacking Tools, WannaCry Used Just 2. Fossbytes (23 May 2017).

Ссылки

⛭

Хакерские атаки 2010-х

Крупнейшие атаки
Группы
и сообщества хакеров
Хакеры-одиночки
Обнаруженные
критические уязвимости

Heartbleed (SSL, 2014) • Bashdoor (Bash, 2014) • POODLE (англ.) (SSL, 2014) • Rootpipe (англ.) (OSX, 2014) • JASBUG (англ.) (Windows, 2015) • Stagefright (англ.) (Android, 2015) • DROWN (англ.) (TLS, 2016) • Badlock (SMB/CIFS, 2016) • Dirty COW (Linux, 2016) • EternalBlue (SMBv1, 2017) • DoublePulsar (2017) • KRACK (2017) • ROCA (англ.) (2017) • BlueBorne (2017) • Meltdown (2018) • Spectre (2018)

Компьютерные вирусы

WannaCry — Википедия. Что такое WannaCry

WannaCry (также известна как WannaCrypt[1], WCry[2], WanaCrypt0r 2.0[3][4] и Wanna Decryptor[5]) — вредоносная программа, сетевой червь и программа-вымогатель денежных средств, поражающая только компьютеры под управлением операционной системы Microsoft Windows. После заражения компьютера программный код червя шифрует почти все хранящиеся на компьютере файлы и предлагает заплатить денежный выкуп в криптовалюте за их расшифровку. В случае неуплаты выкупа в течение 7 дней с момента заражения возможность расшифровки файлов теряется навсегда.

Массовое распространение WannaCry началось 12 мая 2017 года — одними из первых были атакованы компьютеры в Испании, а затем и в других странах. Среди них по количеству заражений лидируют Россия, Украина и Индия[6]. В общей сложности, за короткое время от червя пострадало 500 тысяч компьютеров[7], принадлежащих частным лицам, коммерческим организациям и правительственным учреждениям, в более чем 200 странах мира[8]. Распространение червя блокировало работу множества организаций по всему миру: больниц, аэропортов, банков, заводов и др. В частности, в ряде британских госпиталей было отложено выполнение назначенных медицинских процедур, обследований и срочных операций.

Сетевой червь WannaCry использует для заражения компьютеров уязвимость операционных систем Windows, информация о которой, предположительно, была известна Агентству национальной безопасности (АНБ) США. Хакерской группировкой Equation Group, связанной с АНБ, были созданы эксплойт EternalBlue и бэкдор DoublePulsar, позволяющие использовать данную уязвимость для заражения компьютера и получения доступа к нему. Впоследствии информация об уязвимости и программы для её использования были украдены у АНБ хакерской группировкой The Shadow Brokers и опубликованы в общем доступе[8]. Сам червь WannaCry был создан и запущен неизвестными злоумышленниками с помощью украденной у АНБ информации. Основным подозреваемым считается хакерская группировка Lazarus Group[en], предположительно связанная с правительством КНДР.

Метод атаки

Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор[9].

После запуска вредоносная программа действует как классическая программа-вымогатель: она генерирует уникальную для каждого инфицированного компьютера пару ключей асимметричного алгоритма RSA-2048. Затем WannaCry начинает сканировать систему в поисках пользовательских файлов определённых типов, оставляя критические для дальнейшего её функционирования нетронутыми. Каждый отобранный файл шифруется по алгоритму AES-128-CBC уникальным (случайным) для каждого из них ключом, который в свою очередь шифруется открытым RSA-ключом инфицированной системы и сохраняется в заголовке зашифрованного файла. При этом к каждому зашифрованному файлу добавляется расширение .wncry. Пара RSA-ключей инфицированной системы шифруется открытым ключом злоумышленников и отправляется к ним на серверы управления, расположенные в сети Tor, после чего все ключи из памяти инфицированной машины удаляются. Завершив процесс шифрования, программа выводит на экран окно с требованием перевести определённую сумму в биткойнах (эквивалентную 300 долларам США) на указанный кошелёк в течение трёх дней. Если выкуп не поступит своевременно, то его сумма будет автоматически удвоена. На седьмой день, если WannaCry не будет удалён с инфицированной системы, зашифрованные файлы уничтожаются[10]. Сообщение выводится на языке, соответствующем установленному на компьютере. Всего программой поддерживается 28 языков. Параллельно с шифрованием программа проводит сканирование произвольных адресов Интернета и локальной сети для последующего заражения новых компьютеров[11][12].

Согласно исследованию компании Symantec, алгоритм отслеживания злоумышленниками индивидуальных выплат каждой жертвы и отправки ей ключа для расшифровки реализован с ошибкой состояния гонки. Это делает выплаты выкупа бессмысленными, поскольку индивидуальные ключи в любом случае не будут присланы, а файлы так и останутся зашифрованными. Однако существует надёжный метод расшифровать пользовательские файлы размером менее 200 МБ, а также некоторые шансы восстановить файлы большего размера. Кроме того, на устаревших системах Windows XP и Windows Server 2003 из-за особенностей реализации в системе алгоритма вычисления псевдослучайных чисел даже возможно восстановить закрытые RSA-ключи и расшифровать все пострадавшие файлы, если компьютер не перезагружался с момента заражения[13]. Позднее группа французских экспертов по кибербезопасности из компании Comae Technologies расширила эту возможность до Windows 7 и реализовала её на практике, опубликовав в открытом доступе утилиту WanaKiwi[14], позволяющую расшифровать файлы без выкупа[15][16].

В коде ранних версий программы был предусмотрен механизм самоуничтожения, так называемый Kill Switch (англ.)русск.[10], — программа проверяла доступность двух определённых Интернет-доменов и в случае их наличия полностью удалялась из компьютера. Это 12 мая 2017 года первым обнаружил Маркус Хатчинс (англ.)русск.[17], 22-летний вирусный аналитик британской компании Kryptos Logic, пишущий в Twitter’е под ником @MalwareTechBlog, и зарегистрировал один из доменов на своё имя. Таким образом, ему удалось временно частично[К 1] заблокировать распространение данной модификации вредоносной программы[18][19]. 14 мая был зарегистрирован и второй домен[10]. В последующих версиях вируса данный механизм самоотключения был удалён, однако это было сделано не в исходном программном коде, а путём редактирования исполняемого файла, что позволяет предполагать, происхождение данного исправления не от авторов оригинальной WannaCry, а от сторонних злоумышленников. В результате был повреждён механизм шифрования, и данная версия червя может только распространять себя, находя уязвимые компьютеры, но не способна наносить им непосредственный[К 2] вред[20].

Высокая скорость распространения WannaCry, уникальная для программы-вымогателя, обеспечивается использованием опубликованной в феврале 2017 года уязвимости сетевого протокола SMB операционной системы Microsoft Windows, описанной в бюллетене MS17-010[21]. Если в классической схеме программа-вымогатель попадала на компьютер благодаря действиям самого пользователя через электронную почту или веб-ссылку, то в случае WannaCry участие пользователя полностью исключено. Минимальная продолжительность времени между обнаружением уязвимого компьютера и полным его заражением составляет порядка 3 минут[11].

Компанией-разработчиком подтверждено наличие уязвимости абсолютно во всех пользовательских и серверных продуктах, имеющих реализацию протокола SMBv1 — начиная с Windows XP/Windows Server 2003 и заканчивая Windows 10/Windows Server 2016. 14 марта 2017 года Microsoft выпустила серию обновлений, призванных нейтрализовать уязвимость во всех поддерживаемых ОС[21]. После распространения WannaCry компания пошла на беспрецедентный шаг, выпустив 13 мая также обновления для продуктов с истекшим сроком поддержки (Windows XP, Windows Server 2003 и Windows 8).[22][23]

Хронология событий

Страны, подвергшиеся атаке WannaCry

12 мая 2017 года червь распространился по миру. Атаке подверглись многие страны, но больше всего инфицированных компьютеров в нескольких странах — на Украине, в России, Индии и Тайване[24][25][6].

Сначала были атакованы ПК в Испании в компаниях Telefónica, Gas Natural, Iberdrola, занимающейся поставкой электричества, Centro Nacional de Inteligencia, банке Santander и филиале консалтинговой компании KPMG. В Великобритании были инфицированы компьютеры в больницах (NHS trusts)[26], а в Испании — испанская телекоммуникационная компания «Telefónica», одна из крупнейших телефонных компаний в мире (четвёртая по размеру количества абонентов). В Германии были инфицированы компьютеры Deutsche Bahn.

В России пострадали министерства (МВД России[27]), МегаФон[28]. Сообщения об успешных атаках на Сбербанк и МЧС были опровергнуты этими организациями[29]. Пострадали информационные системы РЖД, однако червь был быстро локализован и не повлиял на движение поездов[30]. Также Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (ФинЦЕРТ) сообщил, что были зафиксированы «единичные факты компрометации ресурсов кредитных организаций», но последствия этих инцидентов были устранены в кратчайшие сроки[31].

По состоянию на 13:20 13 мая, по данным сайта MalwareTech botnet tracker[32], инфицированы 131 233 компьютеров во всем мире, из них онлайн — 1145.

Renault остановил работу своих заводов, чтобы проверить свои ПК[33].

МВД России хотя сначала и опровергало заражение своей сети, позже подтвердило, что заражение произошло потому, что некоторые сотрудники ведомства подключались к интернету со своих компьютеров «посредством того или иного механизма»[34]. Ирина Волк, официальный представитель МВД России, заявила: «Серверные ресурсы МВД России не подвергались заражению благодаря использованию иных операционных систем и отечественных серверов с российским процессором „Эльбрус“»[35]. Количество заражённых ПК составило около 1000, что составляет около 1 % всего компьютерного парка[35]. В некоторых областях РФ отдельные подразделения МВД временно не работали[36].

По данным Европола, по состоянию на 15 мая, WannaCry заразил порядка 200 тысяч компьютеров в более чем 150 странах мира[37]. Однако прибыль от атаки для злоумышленников оказалась относительно небольшой: к этому времени на указанные биткойн-кошельки было проведено всего лишь 110 транзакций на общую сумму около 23,5 биткойна (примерно 65,8 тысячи долларов США)[38]. В этот же день, выступая на пресс-конференции, президент В. В. Путин, назвал ущерб для страны от всемирной кибератаки незначительным[39].

На 17 мая 2017 г., по мнению компании Symantec, источник и способ первоначального распространения WannaCry неизвестен. Высказанные ранее мнения о том, что атака началась путём рассылки вредоносных сообщений электронной почты, не нашли подтверждения[10].

По состоянию на 26 мая 2017 г., по данным сайта MalwareTech Botnet Tracker, инфицированы более 410 000 компьютеров во всем мире, из них онлайн — 170 000[7].

Для приёма выкупа от жертв используются три прописанных в программе электронных кошелька. Как и во всех таких случаях, их баланс и информация о денежных переводах являются общедоступными, в то время как владелец кошелька остаётся неизвестным[40]. По состоянию на 25 мая 2017 г., на счета злоумышленников совершенно 302 перевода на общую сумму 126 742 долларов США[41].

По состоянию на 6 июня 2017 г., по данным сайта MalwareTech Botnet Tracker, заражены более 520 000 компьютеров и 200 000 IP-адресов.[7]

По мнению некоторых экспертов, распространение вируса могло начаться вследствие утечки до того, как работа над ним была завершена. В пользу незаконченности вируса говорит наличие всего трёх вшитых в код биткойн-кошельков и отсутствие шифрования при обращении к доменам, активирующим механизм самоуничтожения[42].

28 марта 2018 г. операционные системы авиастроительной корпорации Boeing подверглись кибератакам с применением WannaCry. Компанией были оперативно проведены восстановительные мероприятия программного обеспечения, и вирус не повлиял на производственную деятельность Boeing.[43]

Оценки

Международный хакерский конгломерат «Анонимус» высказал своё возмущение деятельностью создателей червя WannaCry в связи с тем, что этим червём были поражены компьютерные сети публичных и медицинских учреждений. Из-за его активизации в ряде британских госпиталей было отложено выполнение назначенных медицинских процедур, обследований и срочных операций. Особое негодование этот факт вызвал у французского подразделения «Анонимус», которое опубликовало сообщение с осуждением кибератак WannaCry и АНБ, которое не сообщало до 12 мая о краже из своих баз данных программного обеспечения, необходимого для работы червя[44].

Бывший сотрудник ЦРУ, а ныне американский диссидент Эдвард Сноуден сделал заявление, что уязвимость операционных систем семейства MS Windows, благодаря которой WannaCry распространялся по планете, была давно известна техническим специалистам АНБ. Однако они не посчитали нужным проинформировать об этом компанию Microsoft, а заявили о ней только тогда, когда заражение компьютеров приобрело массовый характер[45][46].

Авторство программы

14 мая президент и главный юрисконсульт компании Microsoft Брэд Смит заявил, что данный вирус использовал уязвимость, информация о которой была украдена у Агентства национальной безопасности (АНБ) США[47][48].

Позднее, 15 мая президент РФ Владимир Путин напомнил об этих словах руководства Microsoft, назвав спецслужбы США «первичным источником вируса», и заявил, что «Россия здесь совершенно ни при чём»[49][50]. В то же время секретарь Совета безопасности РФ Николай Патрушев заявил об отсутствии доказательств того, что спецслужбы каких-либо стран причастны к массовому распространению по всему миру вируса WannaCry. По его словам, если бы за хакерской атакой стояли спецслужбы, её последствия «были бы значительно более серьёзные». Однако он признал, что в нападении участвовали высококвалифицированные специалисты.[51]

Атака стала возможной благодаря наличию уязвимости в реализации компанией Microsoft сетевого протокола Server Message Block (SMB)[21]. Уязвимость некоторое время была известна Агентству национальной безопасности США и имела реализацию в виде готового инструмента (эксплойта) для проведения атаки EternalBlue. Данный инструмент, в числе многих, попал в распоряжение хакерской группы The Shadow Brokers и был опубликован ею в свободном доступе 14 апреля 2017 года[52][4][53][54][55]. По данным WikiLeaks, изначально EternalBlue был разработан хакерской группой Equation Group, которая была связана с АНБ, а затем выкраден The Shadow Brokers[56].

Анализ программного кода

Эксперты по современной индустриальной кибербезопасности полагают, что исполняемый код червя WannaCry сам по себе не отличается особенной технической изощрённостью[8]. Однако, специалисты Лаборатории Касперского и антивирусной компании Symantec, основываясь на опубликованном исследователем из Google Нилом Мехтой твите, обратили внимание, что сигнатуры кода WannaCry совпадают с сигнатурой кода, предположительно, использовавшегося в феврале 2015 года хакерской группой Lazarus Group[en][57][58], подозреваемой в связях с правительством КНДР. Этой группе приписывается проведение множества громких компьютерных атак 2012—2014 годов, включая атаку на банковскую инфраструктуру SWIFT и взлом серверов Sony Pictures Entertainment[59]. Эту гипотезу на основании собственного исследования подтвердил эксперт южнокорейской компании «Hauri Labs» Саймон Чой (Simon Choi), являющийся советником южнокорейской полиции и Национального агентства разведки. По его словам, код вируса совпадает с северокорейскими кодами вредоносных программ-бэкдоров.[60].

На Западе считают, что Lazarus Group связана с киберподразделением Разведывательного Управления Генштаба[en] КНА КНДР, известным как Подразделение 121 (англ. Bureau 121). В 2015 году перебежчик из КНДР, профессор информатики Ким Хен Кван в беседе с Би-би-си рассказал об этой организации. По его словам, Подразделение 121 — один из приоритетных проектов правительства КНДР, получающий очень серьёзное финансирование. В подразделении служат около 6000 «военных хакеров», в задачи которых входят атаки на инфраструктурные объекты — линии связи и коммуникационные спутники. Хакеров набирают из числа студентов Института автоматизации Политехнического университета имени Ким Чхэка в Пхеньяне.[61]

В то же время, по заявлениям Лаборатории Касперского и Symantec, пока ещё преждевременно делать выводы о том, замешана ли Северная Корея в атаках. Джон Миллер, эксперт компании «FireEye Inc», специализирующейся на кибербезопасности, заявил, что сходства, обнаруженные в кодах вируса WannaCry и группировки Lazarus, недостаточно уникальны, чтобы можно было делать выводы об их происхождении из общего источника[60]. Также фрагменты кода Lazarus Group могли быть просто использованы другой хакерской группой[62][63], в том числе и преднамеренно, с целью запутать следствие и помешать выявить настоящего злоумышленника[58]. Официальный представитель Европола Ян Оп Ген Орт также отметил, что Европол пока не может подтвердить информацию о причастности КНДР[64]. Заместитель постоянного представителя КНДР при ООН Ким Ин Рен назвал подозрения в адрес КНДР «смехотворными»[65].

Позже Национальный центр кибербезопасности Великобритании[en] (NCSC), возглавляющий международное расследование[61], подтвердил гипотезу о причастности Lazarus Group к кибератаке[61]. По словам президента Microsoft Брэда Смита, «на данном этапе все осведомленные наблюдатели заключили, что причиной WannaCry была КНДР, которая использовала киберинструменты или оружие, украденное из Агентства национальной безопасности (АНБ) в США»[66]. С этим мнением согласно и правительство Великобритании[67].

Также, по словам экспертов, временные метки в исходном коде WannaCry установлены в часовом поясе UTC +9[63], в котором расположены некоторые страны Восточной Азии. Сопоставляя время добавления исполняемого файла и первой зафиксированной атаки WannaCry (в Тайване), исследователи заключили, что авторы вируса находятся в часовом поясе UTC +9[68].

Лингвистический анализ

Лингвистический анализ текста с требованием выкупа, проведённый экспертами американской компании Flashpoint, ​работающей в сфере кибербезопасности, показал, что родным языком авторов WannaCry, скорее всего, является южный диалект китайского языка. По их мнению, создателями этой программы, скорее всего, являются жители Гонконга, юга Китая, Сингапура или Тайваня[69][70]. Корейская версия текста написана с ошибками[68]. В то же время, не все эксперты согласны с этими выводами, так как, по их мнению, это может быть целенаправленной маскировкой и запутыванием следов[70]. По словам Сержио де лос Сантоса, главы подразделения кибербезопасности ElevenPaths компании Telefónica, родным языком создателя WannaCry является корейский, потому что именно этот язык был выбран по умолчанию в EMEA-версии Word, используемой для создания RTF-файлов. По его мнению, ошибки в корейском варианте текста с требованием выкупа могут быть намеренной попыткой скрыть свою национальность, и при этом гораздо вероятнее, что автор вируса забыл сменить язык по умолчанию[68].

Ущерб

По оценкам экспертов, за первые четыре дня масштабной кибератаки пострадали около 300 тысяч пользователей в 150 странах мира. Общий ущерб оценён в сумму 1 млрд долларов США[71].

EternalRocks

Хорватский эксперт по кибербезопасности Мирослав Стампар (Miroslav Stampar) с помощью системы Honeypot обнаружил новую вредоносную программу-червя под названием «EternalRocks», которая использует семь украденных у АНБ хакерских инструментов и делает компьютеры, работающие на ОС Windows, уязвимыми для будущих атак, которые могут случиться в любое время.[72][73][74][75][76] При этом данный червь маскируется под WannaCry с целью запутать исследователей.

См. также

Комментарии

  1. ↑ Это, однако, не спасло от поражения компьютеры, доступ в Интернет которых подвергается жёсткой фильтрации (как, например, в некоторых корпоративных сетях). WannaCry в таком случае не находит Kill Switch, заблокированный политикой Интернет-доступа, и продолжает своё вредоносное действие[9].
  2. ↑ Тем не менее, модифицированный WannaCry делает заражённую машину ещё более уязвимой к другим угрозам, использующим бэкдор DoublePulsar.

Примечания

  1. ↑ Customer Guidance for WannaCrypt attacks. Microsoft.
  2. ↑ ВСЕСВІТНЯ КІБЕРАТАКА: ВІРУС ОХОПИВ КОМ’ЮТЕРИ З WINDOWS, ЯКІ НЕ ОНОВИЛИСЯ — ЗМІ. Проверено 13 травня 2017.
  3. ↑ Avast reports on WanaCrypt0r 2.0 ransomware that infected NHS and Telefonica.. Avast Security News. Avast Software, Inc (12 May 2017).
  4. 1 2 Fox-Brewster, Thomas. An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak, Forbes.
  5. Woollaston, Victoria. Wanna Decryptor: what is the ‘atom bomb of ransomware’ behind the NHS attack? (англ.), WIRED UK.
  6. 1 2 GReAT. WannaCry ransomware used in widespread attacks all over the world — Securelist. Лаборатория Касперского (12-5-2017). Проверено 13 мая 2017.
  7. 1 2 3 MalwareTech Botnet Tracker: WCRYPT, MalwareTech botnet tracker
  8. 1 2 3 Pascal Ackerman. Other attack scenarios // Industrial Cybersecurity. Efficiently secure critical infrastructure systems. — Birmingham: Packt Publishing, 2017. — P. 174. — ISBN 978-1-78839-515-1.
  9. 1 2 3 Zammis Clark. The worm that spreads WanaCrypt0r (англ.). Malwarebytes (12 мая 2017 года). Проверено 17 мая 2017.
  10. 1 2 3 4 Ransom.Wannacry. Symantec. Проверено 17 мая 2017.
  11. 1 2 Анализ шифровальщика Wana Decrypt0r 2.0. Habrahabr (14 мая 2017 года). Проверено 16 мая 2017.
  12. ↑ Player 3 Has Entered the Game: Say Hello to ‘WannaCry’ (12 мая 2017 года). Проверено 16 мая 2017.
  13. ↑ Can files locked by WannaCry be decrypted: A technical analysis (15 мая 2017 года). Проверено 17 мая 2017.
  14. Suiche, Matthieu WannaCry — Decrypting files with WanaKiwi + Demos. Comae Technologies (19 May 2017). Проверено 22 мая 2017.
  15. Auchard, Eric French researchers find way to unlock WannaCry without ransom. Reuters (19 May 2017). Проверено 19 мая 2017.
  16. ↑ Во Франции нашли способ обойти вирус-вымогатель WannaCry // Комсомольская правда, 20.05.2017
  17. ↑ ‘Just doing my bit’: The 22yo who blocked the WannaCry cyberattack (en-AU), ABC News (16 мая 2017).
  18. ↑ Вирус Wanna Cry случайно остановил бдительный программист, Взгляд, 13 мая 2017
  19. ↑ Эпидемия шифровальщика WannaCry: что произошло и как защититься
  20. rain-1. WannaCry/WannaDecrypt0r NSA-Cyberweapon-Powered Ransomware Worm. Github.com (22 May 2017). Проверено 22 мая 2017.
  21. 1 2 3 Microsoft Security Bulletin MS17-010
  22. Surur. Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003 (13 мая 2017). Проверено 13 мая 2017.
  23. MSRC Team Customer Guidance for WannaCrypt attacks. microsoft.com. Проверено 13 мая 2017.
  24. Сошников, Андрей. WannaCry: как работает крупнейшее компьютерное вымогательство. «Русская служба Би-би-си» (13 мая 2017). Проверено 14 мая 2017. Архивировано 13 мая 2017 года.
  25. ↑ Масштабна хакерська атака вивела з ладу десятки тисяч комп’ютерів по всьому світу. Проверено 12 травня 2017.
  26. Hern, Alex. What is ‘WanaCrypt0r 2.0’ ransomware and why is it attacking the NHS?, The Guardian (12 мая 2017). Проверено 12 мая 2017.
  27. ↑ Вирус-вымогатель заразил компьютеры МВД России и компании «Мегафон», Рязанский портал ya62.ru (12 мая 2017). Проверено 2 июня 2018.
  28. ↑ У РОСІЇ МАСШТАБНИЙ ВІРУС-ВИМАГАЧ АТАКУВАВ КОМП’ЮТЕРИ МІНІСТЕРСТВ, «СБЕРБАНКА» І «МЕГАФОНА», ТСН, 13 травня 2016
  29. ↑ МЧС и Сбербанк успешно отразили кибератаки WannaCry, НТВ, 12 мая 2017 г.
  30. ↑ В РЖД заявили об отсутствии сбоев в работе компании из-за вирусной атаки // Интерфакс, 13.05.2017
  31. ↑ Об атаке вируса Wannacry // «ФинЦЕРТ» Банка России, 19.05.2017
  32. ↑ MalwareTech Botnet Tracker: WCRYPT Архивная копия от 13 мая 2017 на Wayback Machine, MalwareTech botnet tracker
  33. ↑ Renault остановил несколько заводов после кибератаки // Газета, 13 мая 2017
  34. ↑ WannaCry поразил МВД, потому что полицейские нелегально подключались к интернету
  35. 1 2 Российский процессор «Эльбрус» спас серверы МВД от вируса-вымогателя, атаковавшего компьютеры по всему миру
  36. ↑ В регионах из-за кибератаки управления ГИБДД прекратили выдавать права
  37. ↑ Глава Европола сообщил о 200 тыс. пострадавших от глобальной кибератаки. Interfax (15 мая 2017 года). Проверено 16 мая 2017.
  38. ↑ Создатели вируса WannaCry получили в качестве выкупа $42 тысячи. Interfax (15 мая 2017 года). Проверено 16 мая 2017.
  39. ↑ Путин назвал ущерб от всемирной кибератаки для России незначительным // Риа Новости, 15.05.2017
  40. ↑ Watch as these bitcoin wallets receive ransomware payments from the global cyberattack. Quartz.
  41. ↑ @actual_ransom tweets. Twitter. Проверено 19 мая 2017.
  42. ↑ Эпидемия WannaCry могла произойти из-за случайной утечки. SecurityLab.ru (19 июня 2017).
  43. ↑ СМИ: вирус WannaCry атаковал Boeing
  44. Laurent Gayard. Computer attacks of an unprecedented magnitude // Darknet. Geopolitics and Uses. — Wiley, 2018. — Vol. 2. — P. 123. — ISBN 978-1-78630-202-1.
  45. Laurent Gayard. Computer attacks of an unprecedented magnitude // Darknet. Geopolitics and Uses. — Wiley, 2018. — Vol. 2. — P. 124. — ISBN 978-1-78630-202-1.
  46. ↑ Edward Snowden Slams NSA Over Ransomware Attack новостной журнал Newsweek
  47. ↑ The need for urgent collective action to keep people safe online: Lessons from last week’s cyberattack — Microsoft on the Issues (англ.), Microsoft on the Issues (14 мая 2017). Проверено 16 мая 2017.
  48. Биржевой лидер. Правительства и спецслужбы виновны в атаке вируса WannaCry – Microsoft (рус.). www.profi-forex.org. Проверено 16 мая 2017.
  49. ↑ Путин: первичным источником мировой кибератаки являются спецслужбы США, Газета.Ru. Проверено 16 мая 2017.
  50. ↑ Владимир Путин назвал спецслужбы США источником вируса WannaCry // Коммерсант.ru, 15.05.2017
  51. ↑ Патрушев отказался возложить вину за атаку вируса WannaCry на спецслужбы // Lenta.ru, 16.05.2017
  52. ↑ NSA-leaking Shadow Brokers just dumped its most damaging release yet. Проверено 13 мая 2017.
  53. ↑ An NSA-derived ransomware worm is shutting down computers worldwide. Ars Technica. Проверено 13 мая 2017.
  54. Ghosh, Agamoni. ‘President Trump what the f**k are you doing’ say Shadow Brokers and dump more NSA hacking tools, International Business Times UK (April 9, 2017).
  55. ↑ ‘NSA malware’ released by Shadow Brokers hacker group (англ.), BBC News (April 10, 2017).
  56. ↑ Президент Microsoft рассказал о связи разработок АНБ с недавней кибератакой. Interfax (15 мая 2017 года). Проверено 17 мая 2017.
  57. GReAT. WannaCry and Lazarus Group – the missing link?. Securelist (15 мая 2017 года). Проверено 17 мая 2017.
  58. 1 2 WannaCry ransomware has links to North Korea, cybersecurity experts say // The Guardian, 15.05.2017
  59. ↑ Cyber security firm: more evidence North Korea linked to Bangladesh heist. Рейтер (3 апреля 2017 года). Проверено 17 мая 2017.
  60. 1 2 Researchers see possible North Korea link to global cyber attack
  61. 1 2 3 Центр кибербезопасности Британии: вирус WannaCry запущен из КНДР // Би-би-си, 16.06.2017
  62. Eric Talmadge. Experts question North Korea role in WannaCry cyberattack (англ.) (12 May 2017). Проверено 2 июня 2018.
  63. 1 2 В создании вируса WannaCry подозревают Северную Корею // Би-би-си, 16.05.2017
  64. ↑ Европол не может подтвердить, что вирус WannaCry был создан в КНДР // РИА Новости, 16.05.2017
  65. ↑ КНДР считает смехотворными заявления о причастности к мировой кибератаке // Известия, 19.05.2017
  66. ↑ Президент Microsoft считает, что за кибератаками WannaCry стоит КНДР // РИА Новости, 14.10.2017
  67. ↑ Власти Британии уверены, что за хакерской атакой WannaCry в мае стоит КНДР // РИА Новости, 27.10.2017
  68. 1 2 3 Создателем WannaCry может быть корейский фанат Лионеля Месси. SecurityLab.ru (16 июня 2017).
  69. ↑ Хакеров подвел Google-переводчик. Эксперты определили национальность создателей вируса WannaCry // Газета, 29.05.2017
  70. 1 2 Эксперты назвали возможных создателей вируса WannaCry // РБК, 29.05.2017
  71. ↑ Эксперты оценили ущерб от вируса WannaCry в $1 млрд (рус.). runews24.ru. Проверено 25 мая 2017.
  72. ↑ Червь EternalRocks использует сразу 7 эксплоитов АНБ
  73. ↑ 7 NSA hack tool wielding follow-up worm oozes onto scene: Hello, no need for any phish! (17 May 2017).
  74. ↑ EternalRocks worm uses seven NSA exploits (WannaCry used two) (англ.). CNET. Проверено 23 мая 2017.
  75. ↑ New SMB Worm Uses Seven NSA Hacking Tools. WannaCry Used Just Two (en-us). BleepingComputer.
  76. ↑ EternalRocks: New Malware Uses 7 NSA Hacking Tools, WannaCry Used Just 2. Fossbytes (23 May 2017).

Ссылки

⛭

Хакерские атаки 2010-х

Крупнейшие атаки
Группы
и сообщества хакеров
Хакеры-одиночки
Обнаруженные
критические уязвимости

Heartbleed (SSL, 2014) • Bashdoor (Bash, 2014) • POODLE (англ.) (SSL, 2014) • Rootpipe (англ.) (OSX, 2014) • JASBUG (англ.) (Windows, 2015) • Stagefright (англ.) (Android, 2015) • DROWN (англ.) (TLS, 2016) • Badlock (SMB/CIFS, 2016) • Dirty COW (Linux, 2016) • EternalBlue (SMBv1, 2017) • DoublePulsar (2017) • KRACK (2017) • ROCA (англ.) (2017) • BlueBorne (2017) • Meltdown (2018) • Spectre (2018)

Компьютерные вирусы

Программа-вымогатель «WannaCry»

Что такое WannaCry?

Программа-вымогатель WannaCry атакует сети, использующие протокол SMBv1 для обеспечения обмена данными между компьютерам и принтерами, а также другими устройствами, которые подключены к сети. Эта версия протокола от 2003 г. содержит уязвимость (обозначаемую как MS17-010), которая позволяет злоумышленникам атаковать компьютер. В марте компания Microsoft выпустила исправление для поддерживаемых версий ОС Windows, устраняющее эту уязвимость. Но те, кто не установил его, оказались легкой мишенью для создавших WannaCry злоумышленников.

Программа WannaCry, известная также как WanaCrypt0r 2.0 и WCry, использует возможности управляющей ПК операционной системы Windows, чтобы зашифровать файлы и заблокировать доступ к ним пользователей, если они не заплатят 300 долл. США в биткойнах в течение трех дней. После этого цена удваивается.

Цели WannaCry

Во время крупной волны атак программы-вымогателя в мае 2017 г. чаще всего страдали пользователи из России, Китая, Украины, Тайваня, Индии и Бразилии. Атаки WannaCry затронули как частных лиц, так и государственные организации, больницы, университеты, железнодорожные, технологические и телекоммуникационные компании в более чем 150 странах. Среди жертв оказались Национальная служба здравоохранения Великобритании, железнодорожный оператор Deutsche Bahn, испанская компания Telefónica, компании FedEx, Hitachi и Renault.


Источник WannaCry

Эксперты отмечают, что программа-вымогатель WannaCry использует модель поведения червя и применяет два метода атак из арсенала АНБ, ставших известными в результате утечки (ETERNALBLUE и DOUBLEPULSAR). Кроме того, они обнаружили доказательства причастности к волне атак программы-вымогателя северокорейской группы Lazarus.

В 2014 г. эти злоумышленники, известные использованием биткойнов в своих операциях, удалили почти терабайт данных из базы данных компании Sony Pictures. Кроме того, в 2015 г. они создали вредоносную лазейку, которую в 2016 г. использовали для кибератаки на Центральный банк Бангладеша, ущерб от которой составил 81 миллион долларов.

Как распознать WannaCry

Возможно, вы не сумеете распознать программу WanaCrypt0r 2.0 до заражения, так оно не требует вашего участия. Этот тип программы-вымогателя использует модель поведения червя, распространяясь по сетям и прокладывая путь к ПК, где и шифрует ваши файлы. После заражения вы увидите предупреждение и не сможете получить доступ к своим файлам или, что еще хуже, вовсе не сможете войти в систему своего ПК.

Как удалить WannaCry

Удалить WannaCry можно с помощью антивирусного ПО. К сожалению, это действие не расшифрует ваши файлы. Став жертвой, вы сможете сделать немногое. Программа Avast Free Antivirus оснащена инструментом для расшифровки файлов, зашифрованных программой-вымогателем, но шифрование WannaCry очень надежно (AES-128 в сочетании с RSA-2048). Наибольший шанс на восстановление файлов дает использование резервной копии, если это возможно. Но сначала нужно очистить ПК и установить обновления.

Как предотвратить заражение WannaCry

Чтобы защитить себя от атак программы-вымогателя WannaCry, чрезвычайно важно поддерживать актуальность версий своего программного обеспечения, прежде всего — операционной системы. Недавно компания Microsoft выпустила исправления даже для старых, уже не имеющих официальной поддержки версий Windows. Используйте антивирус: он поможет обнаружить любые подозрительные действия на вашем ПК. Программа Avast защитит вас как с установленными исправлениями, так и без них. Опытные пользователи могут изменить настройки брандмауэра, чтобы взять под контроль сетевой трафик, использующий определенные параметры подключения. Эти параметры называются правилами для пакетов и могут включать сетевые протоколы, IP-адреса источника или назначения, а также локальные и удаленные порты.

Используйте программы для защиты от вредоносного ПО!

Плохая новость: WannaCry — лишь одна из многих угроз. Хорошая новость: наша бесплатная программа Avast Free Antivirus не позволит вредоносному ПО проникнуть на ваш компьютер. Средство «Анализ сети» сканирует сеть и обнаруживает потенциальные угрозы безопасности. Даже если вредоносное ПО преодолевает первый уровень защиты, средство «Анализ поведения» выявит его сразу же, как только оно попытается совершить подозрительное действие.

откуда он взялся, как работает и чем опасен?

12 мая несколько компаний и ведомств в разных странах мира, в том числе в России, были атакованы вирусом-шифровальщиком. Специалисты по информационной безопасность идентифицировали в нём вирус WanaCrypt0r 2.0 (он же WCry и WannaCry), который шифрует некоторые типы файлов и меняет у них расширения на .WNCRY.

Компьютеры, заражённые WannaCry, оказываются заблокированы окном с сообщением, где говорится, что у пользователя есть 3 дня на выплату выкупа (обычно эквивалент 300 долларов США в биткоинах), после чего цена будет удвоена. Если не заплатить деньги в течение 7 дней, файлы якобы будет невозможно восстановить.

WannaCry попадает только на компьютеры, работающие на базе Windows. Он использует уязвимость, которая была закрыта компанией Microsoft в марте. Атаке подверглись те устройства, на которые не был установлен свежий патч безопасности. Компьютеры обычных пользователей, как правило, обновляются оперативно, а в крупных организациях за обновление систем отвечают специальные специалисты, которые зачастую с подозрением относятся к апдейтам и откладывают их установку.

WannaCry относится к категории вирусов ransomware, это шифровальщик, который в фоновом режиме незаметно от пользователя шифрует важные файлы и программы и меняет их расширения, а затем требует деньги за дешифровку. Окно блокировки показывает обратный отсчёт времени, когда файлы будут окончательно заблокированы или удалены. Вирус может попасть на компьютер с помощью удалённой атаки через известную хакерам и не закрытую в операционной системе уязвимость. Вирусный код автоматически активируется на заражённой машине и связывается с центральным сервером, получая указания о том, какую информацию вывести на экран. Иногда хакерам достаточно заразить всего один компьютер, а он разносит вирус по локальной сети по другим машинам.

По данным сайта The Intercept, WannaCry создан на основе утекших в сеть инструментов, которые использовались Агентством национальной безопасности США. Вероятно, для инъекции вируса на компьютеры хакеры использовали уязвимость в Windows, которая прежде была известна только американским спецслужбам.

Вирус WannaCry опасен тем, что умеет восстанавливаться даже после форматирования винчестера, то есть, вероятно, записывает свой код в скрытую от пользователя область.

Ранняя версия этого вируса называлась WeCry, она появилась в феврале 2017 года и вымогала 0,1 биткоина (177 долларов США по текущему курсу). WanaCrypt0r — усовершенствованная версия этого вредоноса, в ней злоумышленники могут указать любую сумму и увеличивать её с течением времени. Разработчики вируса неизвестны и не факт, что именно они стоят за атаками. Они вполне могут продавать вредоносную программу всем желающим, получая единоразовую выплату.

Известно, что организаторы атаки 12 мая получили от двух десятков жертв в общей сложности как минимум 3,5 биткоина, то есть чуть более 6 тысяч долларов. Получилось ли у пользователей разблокировать компьютеры и вернуть зашифрованные файлы, неизвестно. Чаще всего жертвам хакеров, выплатившим выкуп, действительно приходит ключ или инструмент для дешифрации файлов, но иногда они не получают в ответ ничего.

12 мая Microsoft выпустила патч безопасности для обнаружения и обезвреживания вируса Ransom:Win32/Wannacrypt. Его можно установить через «Центр обновления Windows». Чтобы обезопасить свой компьютер от WannaCry, необходимо установить все обновления Windows и убедиться, что работает встроенный антивирус Windows Defender. Кроме того, будет не лишним скопировать все ценные данные в облако. Даже если они зашифруются на вашем компьютере, вы всё равно сможете восстановить их из облачного хранилища или его корзины, куда попадают удалённые файлы.

основные факты о вирусе WannaCry — Реальное время

«Джон Коннор», остановивший всемирную кибератаку а-ля «Скайнет», оказался простым британским программистом

Татарстан наряду с Чувашией, а также Нижегородской и Самарской областями испытал наибольшие проблемы из-за массовой атакой хакеров 12—13 мая, заявил секретарь Совета безопасности РФ Николай Патрушев. В СМИ сообщалось, что удар вируса WannaCry пришелся на 74 страны. «Реальное время» разбирается, чем эта кибератака отличается от всех предыдущих, а также, кто в России пострадал от подобных действий.

Как WannaCry чуть не повторил сценарий из «Терминатора»

Пятничная атака криптовымогателя WannaCry началась почти по сценарию из фильма «Терминатор-2», когда вирус «Скайнета» заражает компьютеры по всему миру и в итоге запускает ядерные ракеты. Как минимум такие мысли возникли у пользователей соцсетей, когда они увидели опубликованную карту пораженных вирусом стран.

Среди стран наиболее пострадали Великобритания и Россия. Фото hghltd.yandex.ne

«Троян» сумел поразить на тот момент более 200 тысяч компьютеров в 150 странах. Среди стран наиболее пострадали Великобритания и Россия. Так, вечером 12 мая из сообщений в СМИ стало известно, что компьютеры из внутренней сети Следственного комитета, а также компьютеры МВД России подверглись хакерской атаке. Силовики эту информацию опровергли. В «Мегафоне» изданию «Медуза» подтвердили, что компьютеры компании подверглись кибератаке. В этот же день больницы, расположенные в различных частях Великобритании, были атакованы компьютеры: пользователи получили сообщения с требованиями выкупа. Атаковали и компьютеры телекоммуникационной компании Telefonica в Испании.

Секретарь Совета безопасности России Николай Патрушев на совещании по проблеме терроризма и миграции причислил Татарстан к регионам, наиболее пострадавшим от кибератаки. При этом ранее в Министерстве информатизации и связи РТ заявили, что государственные учреждения Татарстана не пострадали от кибератаки вируса WannaCry.

Кстати, в The Times посчитали, сколько пользователей повелось на уловку мошенников. Издание сообщило, что создатели вируса WannaCry заработали больше $42 тыс.

Пострадали от вируса и обычные пользователи по всему миру. Владельцы компьютеров выкладывали в соцсети фотографии своих мониторов, на которых запечатлены сообщения с требованиями о выкупе (чаще остальных фигурировала сумма $300).

Николай Патрушев на совещании по проблеме терроризма и миграции причислил Татарстан к регионам, наиболее пострадавшим от кибератаки. Фото prav.tatarstan.ru

Кто ты, Джон Конор нашего времени

Но, согласно жанру, на каждый «Скайнет» должен прилагаться свой Джон Коннор. И действительно, в мире нашелся такой человек. На роль спасателя, сумевшего остановить атаку, может претендовать обычный пользователь из Британии Дариен Хусс. Он писал под Twitter-аккаунтом MalwareTech.

Уже после начала кибератаки Дариен Хусс обнаружил зашитое в коде вредоносной программы незарегистрированное доменное имя, на которое направлялись запросы, сообщает The Guardian. Он приобрел меньше чем за $11 этот домен под именем iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. После этого он зафиксировал тысячи направляемых к нему в секунду обращений. Таким образом, регистрация домена приостановила работу WannaCry.

Тем временем программист из Таиланда Чанвит Каукаси совместно с коллегами из Технологического университета Суранари провинции Накхон Ратчасима создали программу Block Wannacry, способную блокировать вирус. Специалисты выложили приложение в интернет для бесплатного скачивания, передает The Nation.

I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.
— MalwareTech (@MalwareTechBlog) 13 мая 2017 г.

Что за зверь такой

WannaCry является вирусом-шифровальщиком, а также эксплойтом. Вирусы-шифровальщики, оказываясь на компьютере, шифруют ваши данные. В результате владелец компьютера сначала не может открыть файлы, а затем получает сообщение с требованием выкупа в обмен за возврат доступа. Шифровальщик обычно попадает в компьютер из-за ошибок и невнимательности пользователей — клик «не туда», скачивание сомнительного файла, установка расширений.

Эксплойтом можно заразиться, даже никаких ошибок не делая, ведь этот подвид вредоносных программ эксплуатирует уязвимости в программном обеспечении. Он может пасть на компьютер при заходе пользователя на сайт, который содержит вредоносный код, через рассылку спама или фишингового письма, сообщает Kaspersky Daily. Фокус в том, что между открытием хакерами уязвимости, выходом обновления с исправлениями проходит время, за которое недобросовестные лица и могут проводить атаки.

Заражение через локальную сеть

В «Лаборатории Касперского» заявляют, что создатели WannaCry использовали эксплойт для Windows, известный под названием EternalBlue. Он эксплуатирует уязвимость, которую Microsoft закрыла в обновлении безопасности MS17-010 от 14 марта 2017 года. Через этот эксплойт злоумышленники могли получать удаленный доступ к компьютеру и устанавливать на него собственно шифровальщик. При этом отмечается, что если обновление было установлено на компьютер, то его систему удаленно взломать не получится. Но если шифровальщик каким-либо образом все же оказался на вашем компьютере, то обновления вас не спасут.

После того, как WannaCry взламывал компьютер, он по «локалке» попадал на другие компьютеры сети и начинал сканировать их на предмет наличия уязвимостей. По этой причине больше других от данной атаки пострадали крупные компании, чьи компьютеры объединены одной локальной сетью.

Ранее «Реальное время» сообщало о главных принципах безопасного поведения компьютерных пользователей.

Президент Microsoft Брэд Смит заявил, что за WannaCry стоят ЦРУ и АНБ. Фото geekwire.com

А кто это сделал?

Секретарь Совета безопасности России Николай Патрушев заявил, что бездоказательно считать, что за кибератакой WannaCry стоят чьи-либо спецслужбы, передают «РИА Новости». По его мнению, если бы это были спецслужбы, нанесенный ущерб был бы более серьезным. В свою очередь президент Владимир Путин выразил мнение, что источник подобных действий — спецслужбы США, сообщает «Интерфакс».

До этого президент Microsoft Брэд Смит заявил, что за WannaCry стоят ЦРУ и АНБ (Агентство национальной безопасности). В сообщении на сайте корпорации говорится, что США в собственных интересах собирают информацию об уязвимости ПО. Смит сказал, что об уязвимостях в программном обеспечении Microsoft должны знать только разработчики, а не спецслужбы. Он также назвал произошедшее тревожным звонком и сигналом для правительств к пробуждению.

The Telegraph в своей публикации заявила, что отношение к WannaCry имеет кибергруппа Shadow Brokers. По мнению издания, связанные с Россией хакеры мстят США за авиаудары по Сирии.

Среди других версий о том, кто может стоить за глобальной кибератакой, называют северокорейских хакеров из группировки Lazarus. К такому выводу пришли аналитики американской компании Symantec и эксперты российской «Лаборатории Касперского».

Александр Шакиров

Leave a comment