В российской компании Group-IB, специализирующейся на вопросах кибербезопасности, пояснили ситуацию с вирусом WannaCry (мнение Microsoft в связи с этой атакой см. ).
Действие вируса было похоже на глобальную эпидемию. Всего за три дня вирус-шифровальщик WannaCry атаковал 200 000 компьютеров в 150 странах мира. Вирус прошелся по сетям университетов в Китае, заводов Renault во Франции и Nissan в Японии, телекоммуникационной компании Telefonica в Испании и железнодорожного оператора Deutsche Bahn в Германии. Из-за заблокированных компьютеров в клиниках Великобритании пришлось отложить операции, а региональные подразделения МВД России — не смогли выдавать водительские права.
Те, кто запустил WannaCry, за эти дни заработали всего 43 000 долл. Сумма для киберпреступников смешная. Для сравнения: один из взломщиков, чью деятельность расследовала Group-IB, на кражах из интернет-банкинга зарабатывал 20 млн долл. в месяц.
История вируса WannaCry — на самом деле не про деньги. Это демо-версия последствий будущей масштабной кибервойны. И она показала, насколько уязвим современный мир перед цифровым оружием из арсенала спецслужб и киберармий. Тем более, если оно оказалось не в тех руках.
Wanna Cryptor – целевая атака (APT)?
Нет, хотя APT-инструменты явно были задействованы. С чисто технической точки зрения Wanna Cryptor – достаточно примитивная вредоносная программа. Но заражение, как установили криминалисты Group-IB, происходит не через почтовую рассылку, а весьма необычным для шифровальщиков образом: WannaCry сам сканирует сеть на предмет уязвимых хостов и, используя сетевую уязвимость ОС Windows, устанавливается на компьютеры. Этим объясняет скорость распространения: вирус работает не по конкретным целям, а «прочесывает» сеть и ищет незащищенные устройства.
WannaCry шифрует файлы, но не все, а наиболее ценные — базы данных, почту, архивы, потом блокирует компьютеры и требует выкуп за восстановление доступа к данным — 300-600 долл. в биткоинах. К тому же, если зараженный компьютер подключен к локальной сети, вредоносная программа распространится и в ней тоже – отсюда и лавинообразный характер заражений.
Причина столь масштабного бедствия в том, что злоумышленники использовали шифровальщик в связке с кибероружием — EternalBlue, эксплойтом Агентства национальной безопасности (АНБ) США, который 14 апреля выложили в открытый доступ хакеры из группы Shadow Brokers. Инцидент с Wanna Cryptor — это не первый случай, когда утечкой эксплойтов и утилит из арсенала спецслужб активно пользуются киберпреступники. С помощью еще одного из засвеченных Shadow Brokers инструментов АНБ — бэкдора DoublePulsar, предназначенного для внедрения и запуска вредоносных программ, злоумышленникам удалось заразить более 47 000 компьютеров OC Windows в США, Великобритании, на Тайване. Эти взломанные компьютеры могут использоваться для распространения вредоносных программ, рассылки спама, проведения кибератак и шпионажа т. д.
Хотя с тактической точки зрения эта атака достаточно продвинутая, в целом в ней нет ничего нового.
Кому в первую очередь угрожает WannaCry?
1. Всем компаниям, на компьютерах которых не установлен патч безопасности MS17-010.
2. Крупным компания — чем больше компьютеров в локальной сети, тем больше хостов может быть подвержено заражению.
3. Пользователям пиратского ПО, не поддерживаемого Microsoft.
Под угрозой ли домашние пользователи?
Только если они запустят вирус вручную или имеют доступ к Интернету через локальную сеть провайдера. Настроенные по умолчанию домашние маршрутизаторы не позволяют 445-му порту, который вредоносные программы используют для самораспространения, быть доступным «снаружи».
Microsoft выпустила специальную серию обновлений безопасности для Win Server 2003 и Win XP. Если у пользователя стоит версия Windows, не поддерживаемая обновлениям безопасности Microsoft, то следует как можно скорее установить их, иначе могут возникнуть неприятности.
Это русские хакеры?
Ни Group-IB, ни кто-либо другой не может подтвердить или опровергнуть российское происхождение нападавших без тщательного расследования. Компания Group-IB не нашла среди целевых файлов расширений файлов «1С», на которые обычно нацелены шифровальщики, созданные в России. Но без дальнейшего исследования однозначный вывод сделать невозможно.
Остановилась ли эпидемия?
Массовая атака была временно остановлена, когда исследователь из Великобритании зарегистрировал домен, к которому вредоносная программа обращалась, начиная свою деятельность. Вредоносная программа запускалась при условии, что домен не зарегистрирован. Сейчас, когда домен зарегистрирован, установленная вредоносная программа обращается к нему и, получив ответ, прекращает любую деятельность. Однако организациям, использующим прокси-серверы, этот «kill switch» не поможет, так как Wanna Cryptor не сможет достичь домена.
Единственный надежный способ защититься – установить обновления безопасности и не запускать вредоносную программу вручную.
Когда начнется «вторая волна» заражения?
Киберпреступникам потребуется совсем немного времени, чтобы модифицировать Wanna Cryptor и снова запустить атаку. Таким образом, сейчас – лишь временная передышка. Кто-то (предположительно не разработчик оригинальной Wanna Cryptor) уже загрузил в VirusTotal новую версию вируса без функции kill-switch.