2020/04/27 12:04:10

WannaCry (вирус-вымогатель)

WannaCry (также WannaCrypt или Wana) — вирус-вымогатель, получивший широкое распространение в 2017 году. Он является модифицированной версией вредоносной программы Агентства национальной безопасности США Eternal Blue.

Содержание

Как работает

WannaCry распространяется через протоколы обмена файлами, установленных на компьютерах компаний и государственных учреждений. Программа-шифровальщик повреждает компьютеры на базе Windows.


Свыше 98% случаев инфицирования вымогательским ПО WannaCry приходятся на компьютеры под управлением Windows 7, причем более 60% заражений затрагивают 64-разрядную версию ОС. Такие данные обнародовали аналитики «Лаборатории Касперского». Согласно статистике, менее 1% зараженных компьютеров работают на базе версий Windows Server 2008 R2 и Windows 10 (0,03%).


После проникновения в папку с документами и другими файлами вирус шифрует их, меняя расширения на .WNCRY. Затем вредоносная программа требует купить специальный ключ, стоимость которого составляет от 300 до 600 долларов, угрожая в противном случае удалить файлы. TrafficSoft ADC: балансировщик нагрузки с высокой скоростью работы и минимальными аппаратными требованиями

В целом WannaCry — это эксплойт, с помощью которого происходит заражение и распространение, плюс шифровальщик, который скачивается на компьютер после того, как заражение произошло.

В этом и состоит важное отличие WannaCry от большинства прочих шифровальщиков. Для того, чтобы заразить свой компьютер, обычным, скажем так, шифровальщиком, пользователь должен совершить некую ошибку — кликнуть на подозрительную ссылку, разрешить исполнять макрос в Word, скачать сомнительное вложение из письма. Заразиться WannaCry можно, вообще ничего не делая[1].

Создатели WannaCry использовали эксплойт для Windows, известный под названием EternalBlue. Он эксплуатирует уязвимость, которую Microsoft закрыла в обновлении безопасности MS17-010 от 14 марта этого года. С помощью этого эксплойта злоумышленники могли получать удаленный доступ к компьютеру и устанавливать на него собственно шифровальщик.

Если у вас установлено обновление и уязвимость закрыта, то удаленно взломать компьютер не получится. Однако исследователи «Лаборатории Касперского» из GReAT отдельно обращают внимание на то, что закрытие уязвимости никак не мешает работать собственно шифровальщику, так что, если вы каким-либо образом запустите его, патч вас не спасет.

После успешного взлома компьютера WannaCry пытается распространяться по локальной сети на другие компьютеры, как червь. Он сканирует другие компьютеры на предмет наличия той самой уязвимости, которую можно эксплуатировать с помощью EternalBlue, и если находит, то атакует и шифрует и их тоже.

Получается, что, попав на один компьютер, WannaCry может заразить всю локальную сеть и зашифровать все компьютеры, в ней присутствующие. Именно поэтому серьезнее всего от WannaCry досталось крупным компаниям — чем больше компьютеров в сети, тем больше ущерб.


По данным «Лаборатории Касперского», к маю 2017 года жертвами WannaCry стали не менее 45 тысяч пользователей из 74 стран. 70% всех зараженных компьютеров, как утверждают в компании, расположены в России.

Кроме того, вирусом оказались затронуты компьютеры в Великобритании, Испании, Италии, Германии, Португалии, Турции, Украине, Казахстане, Индонезии, Вьетнаме, Японии и Филиппинах.

14 мая 2017 года компания Avast обнаружила 126 тыс. зараженных компьютеров в 104 странах, также выделив Россию среди наиболее пострадавших стран — на нее приходилось 57% заражений.

По состоянию на 14 мая WannaCry собрал более 33 тысяч долларов. Несмотря на то, что многие пользователи заплатили выкуп, не было ни одного сообщения о том, что их файлы были разблокированы. Исследователи обнаружили, что поступление денег на счет вымогателей позволяет отслеживать, какая именно жертва их перевела. У многих вымогателей есть «служба поддержки», которая быстро отвечает жертвам в случае проблем с оплатой. Но не в случае с WannaCry. Более того, эксперты сомневаются, что зашифрованные файлы вообще поддаются дешифровке со стороны вымогателей.

Распространение вируса-вымогателя WannaCrypt удалось приостановить, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Оказывается, некоторые образцы WannaCry обращались к этому домену и, если не получали положительного ответа, устанавливали шифровальщик и начинали свое черное дело. Если же ответ приходил (то есть домен был зарегистрирован), то зловред сворачивал какую-либо деятельность. Обнаружив отсылку к этому домену в коде трояна, исследователь зарегистрировал его, таким образом приостановив атаку. За остаток дня к домену пришло несколько десятков тысяч обращений, то есть несколько десятков тысяч компьютеров удалось спасти от заражения. Есть версия, что эта функциональность была встроена в WannaCry как рубильник — на случай, если что-то пойдет не так. Другая версия, которой придерживается и сам исследователь: что это способ усложнить анализ поведения зловреда. В исследовательских тестовых средах часто специально делается так, что от любых доменов приходили положительные ответы — и в этом случае в тестовой среде троян бы не делал ничего. К сожалению, в новых версиях трояна злоумышленникам достаточно поменять доменное имя, указанное в «рубильнике», чтобы заражение продолжилось. Так что, вероятно, первый день эпидемии WannaCry не станет последним.
В сети вспыхнула эпидемия вируса-вымогателя

WannaCry как шифровальщик (его еще иногда называет WCrypt, а еще, почему-то, порой зовут WannaCry Decryptor, хотя он, по логике вещей, вовсе даже криптор, а не декриптор) делает все то же самое, что и другие шифровальщики — шифрует файлы на компьютере и требует выкуп за их расшифровку. Больше всего он похож на еще одну разновидность печально известного троянца CryptXXX.

Он шифрует файлы различных типов (полный список можно посмотреть тут[2]), среди которых, конечно же, есть офисные документы, фотографии, фильмы, архивы и другие форматы файлов, в которых может содержаться потенциально важная для пользователя информация. Зашифрованные файлы получают расширение .WCRY (отсюда и название шифровальщика) и становятся полностью нечитаемыми.

После этого он меняет обои рабочего стола, выводя туда уведомление о заражении и список действий, которые якобы надо произвести, чтобы вернуть файлы. Такие же уведомления в виде текстовых файлов WannaCry раскидывает по папкам на компьютере — чтобы пользователь точно не пропустил. Как всегда, все сводится к тому, что надо перевести некую сумму в биткоин-эквиваленте на кошелек злоумышленников — и тогда они якобы расшифруют файлы. Поначалу киберпреступники требовали $300, но потом решили поднять ставки — в последних версиях WannaCry фигурирует цифра в $600.

Вирус работает только на Windows — он использует уязвимость в операционной системе и распространяется вслепую: то есть не выбирает жертв, а заражает тех, кто не защищен. Microsoft закрыл эту уязвимость еще в марте 2017 года: компания выпустила обновление, которое автоматически установилось на компьютеры обычных пользователей. Всем, у кого система обновилась, вирус не угрожает. В некоторых организациях обновления устанавливаются не автоматически, а с одобрения людей, отвечающих за безопасность. Видимо, с проблемами столкнулись те ведомства и компании, в которых обновление не установили.

Microsoft выпустила обновления для операционных систем, которые уже не поддерживаются, чтобы остановить распространение вируса-вымогателя WannaCrypt. Обновление вышло, в том числе для Windows XP, операционной системы 2001 года, хотя она уже три года не поддерживается.

Дягилев Василий, глава представительства компании Check Point Software Technologies в России и СНГ: «Виновником атак, которые начались в конце прошлой недели по всему миру, является версия 2.0 WCry ransomware, также известная как WannaCry или WanaCrypt0r ransomware. Версия 1.0 была обнаружена 10 февраля 2017 года и в ограниченных масштабах использовалась в марте. Версия 2.0 была впервые обнаружена 11 мая, атака возникла внезапно и быстро распространилась в Великобритании, Испании, Германии, Турции, России, Индонезии, Вьетнаме, Японии. Масштаб атаки подтверждает, насколько опасным может быть вымогательское ПО. Организации должны быть готовы к отражению атаки, иметь возможность сканировать, блокировать и отсеивать подозрительные файлы и контент до того, как он попадет в их сеть. Также очень важно проинструктировать персонал о возможной опасности писем от неизвестных источников».

Авторы

Эксперты компании Flashpoint с помощью лингвистического анализа установили национальность хакеров, предположительно создавших и запустивших вирус WannaCry. Анализ показал, что злоумышленники могут быть из южных областей Китая, Гонконга, Тайваня или Сингапура, так как родным для хакеров был южный диалект китайского языка.

Эксперты проанализировали сообщения с требованием выкупа, которые появлялись на зараженных компьютерах. Все они были переведены на 28 языков, включая русский, норвежский, филиппинский, турецкий и другие[3].

Анализ показал, что практически все сообщения о выкупе были переведены через Google Translate, и только английская и две китайские версии (упрощенная и классическая), вероятно, были написаны носителями языка.

Несмотря на то, что сообщение на английском языке было написано человеком, хорошо владеющим языком, грубая грамматическая ошибка указывает на то, что это не родной язык автора. Flashpoint выяснила, что именно текст на английском стал первоисточником, который впоследствии перевели на остальные языки.

Сообщения о требовании выкупа на китайском языке отличаются от других по содержанию и тону. Кроме того, большое количество уникальных иероглифов свидетельствует о том, что их писал человек, свободно владеющий китайским.

Спустя три месяца после начала атак с использованием вымогательского ПО WannaCry его создатели вывели все имеющиеся в биткойн-кошельках средства - более $142 тыс. Транзакции были замечены ботом издания Quartz. Шифровальщик требовал у своих жертв выкуп в размере $300-$600 в биткойнах. Все полученные деньги распределялись по трем кошелькам. В ночь на 3 августа 2017 года были зафиксированы семь переводов средств, которые были проведены в течение 15 минут. Вероятнее всего, деньги пройдут через цепочку других биткойн-кошельков, чтобы скрыть конечного получателя.

Кто виноват

В.Путин: Спецслужбы США

Президент России Владимир Путин назвал спецслужбы США источником вируса-вымогателя WannaCry, который парализовал компьютеры ведомств в 150 странах.

"Что касается источника этих угроз, то, по-моему, руководство Microsoft об этом прямо заявило. Сказали о том, что первичным источником этого вируса являются спецслужбы Соединенных Штатов, Россия здесь совершенно ни при чем. Мне странно слышать в этих условиях что-то другое", — сказал президент на пресс-конференции по итогам своего визита в Китай.

Глава государства сообщил, что российские учреждения серьезно не пострадали от глобальной кибератаки. "Для нас существенного никакого ущерба не было, для наших учреждений — ни для банковских, ни для системы здравоохранения, ни для других. Но в целом это тревожно, здесь нет ничего хорошего, это вызывает озабоченность", — констатировал Владимир Путин.

Microsoft: Спецслужбы разных стран

Президент корпорации Microsoft Брэд Смит в своем блоге заявил, что ответственность за крупную кибератаку частично несут ответственность спецслужбы разных стран. Он утверждает, что сбор и хранение спецслужбами информации об уязвимостях в программном обеспечении является большой проблемой, поскольку эти данные в итоге попадают в плохие руки.

 «Атака представляет собой пример того, что проблема накопления правительствами информации об уязвимостях является таковой, — написал он. — Мы видели, как данные уязвимостях, которые собирало ЦРУ (Центральное разведывательное управление США), в итоге обнаружились на Wikileaks, а новая уязвимость, которая была украдена у АНБ (Агентство национальной безопасности США), затронула пользователей по всему миру».

Брэд Смит призвал «правительства всего мира» отказаться от накопления таких данных, а также от их эксплуатирования или продажи. Вместо этого спецслужбы должны передавать информацию об уязвимостях разработчикам, считает он.

Microsoft и Британия: Виновата КНДР

В октябре 2017 года президент Microsoft Брэд Смит (Brad Smith) заявил, что к масштабным атакам с использованием вымогательского ПО WannaCry, в мае 2017 года затронувших более 150 стран мира, причастны власти Северной Кореи. Об этом он заявил в эфире телеканала ITV. Ранее эксперты в области кибербезопасности неоднократно высказывали подозрения о связи атак WannaCry с правительством КНДР, но это впервые, когда президент Microsoft заявил об этом публично.

«Полагаю, к этому моменту все осведомленные наблюдатели заключили, что источником WannaCry была КНДР, использовавшая инструменты или кибероружие, похищенные у Агентства национальной безопасности США», - отметил Смит. Он добавил, что за последние полгода атаки, осуществляемые отдельными государствами, участились и стали более серьезными.

В то время, как общество все больше полагается на технологии, риск для наиболее важных сфер жизнедеятельности и функционирования политических институтов растет, полагает глава Microsoft. Он призвал правительства принять больше мер для защиты граждан от подобного ущерба.

Министр по вопросам безопасности министерства внутренних дел Великобритании Бен Уоллес (Ben Wallace) заявил в конце октябре 2017 года в интервью BBC Radio, что правительство Великобритании уверено в причастности КНДР к атакам шифровальщика WannaCry, поразившего в мае нынешнего года серверы Национальной системы здравоохранения Великобритании (NHS). Атака была совершена не простой хакерской группировкой, а иностранным государством, и британские власти в этом твердо убеждены, заявил министр. В Великобритании и ряде других стран широко распространено мнение о причастности именно КНДР к данным атакам.

США: Виновата КНДР

18 декабря 2017 года США публично обвинили КНДР в атаках с использованием вымогательского ПО WannaCry. О непосредственной причастности Северной Кореи к атакам сообщил советник президента США по вопросам внутренней безопасности Томас Боссерт (Thomas Bossert) в авторской статье в Wall Street Journal.

«Атака без разбору распространялась по всему миру в мае. Оно (вредоносное ПО WannaCry – ред.) шифровало и делало бесполезным сотни тысяч компьютеров в больницах, школах, компаниях и домах. Это было подло, небрежно и причинило большой материальный ущерб. Атака была широко распространенной и стоила миллиарды. Ответственность за нее лежит непосредственно на Северной Корее»,- завил Боссерт[4].

Как пояснил советник, его заявление не является голословным и основывается на полученных в ходе расследования доказательствах. К выводам о причастности КНДР к атакам WannaCry также пришли спецслужбы Великобритании и специалисты ряда частных компаний, отметил Боссерт.

По мере того, как цифровые технологии становятся повсеместными, злоумышленники начинают использовать их в своих целях. Атаки в киберпространстве позволяют им оставаться анонимными и заметать свои следы. С помощью кибератак преступники похищают интеллектуальную собственность и причиняют ущерб в каждом секторе, отметил советник.

Распространение в мире

2022: Трафик вируса вырос на 800%

Уязвимости, обеспечивающие возможность распространения вредоносной программы WannaCry, даже спустя пять лет после обнаружения остаются значительной угрозой. Об этом говорит исследование корпорации IBM, результаты которого были обнародованы 22 февраля 2023 года.

Вирус-вымогатель WannaCry появился в 2017 году и наделал много шума. Как сообщается в отчёте IBM, в 2022 году трафик этого зловреда подскочил на 800%. Согласно полученным данным, всплеск активности WannaCry пришёлся на апрель 2022-го, после чего интенсивность атак оставалась высокой. Большинство нападений нацелены на производство, здравоохранение и авиационный сектор. Злоумышленники внедряют WannaCry в ИТ-инфраструктуры компаний с целью получения выкупа.

Спустя пять лет после появления вирус WannaCry все еще функционирует
«
Продолжающееся использование старых эксплойтов подчёркивает необходимость для организаций совершенствовать и улучшать схемы устранения уязвимостей, в том числе лучше понимать векторы атак и устанавливать приоритеты исправлений на основе рисков, — говорится в отчёте IBM.
»

По оценкам, киберпреступники имеют доступ к более чем 78 тыс. самых разнообразных эксплойтов, что упрощает использование старых дыр в программном обеспечении. В 2022 году резко возросло количество атак, нацеленных на перехват электронной почты: интенсивность таких киберкампаний подскочила в два раза по сравнению с 2021 годом. IBM говорит, что злоумышленники используют такую тактику для доставки вредоносных программ Emotet, Qakbot и IcedID, которые часто приводят к заражению зловредами-вымогателями.

«
Полученные данные говорят о том, что устаревшие эксплойты позволяют вредоносным программам, таким как WannaCry и Conficker, продолжать существовать и распространяться. Причём среднее время для успешного проведения атаки программы-вымогателя [в 2022 году] сократилось с двух месяцев до менее чем четырёх дней, — отмечается в исследовании.[5]
»

2019: На WannaCry пришлось 35% кибератак на промышленные предприятия

На WannaCry в 2019 году пришлось 35% кибератак на промышленные предприятия по всему миру. Об этом сообщается в исследовании «Лаборатории Касперского», которое было опубликовано в апреле 2020-го.

По словам экспертов, значительную угрозу для систем промышленной автоматизации продолжают представлять программы-вымогатели. При этом WannaCry прежнему является серьезной угрозой, хотя прошло почти три года после ее эпидемии.

WannaCry продолжает распространяется по сети Интернет и по-прежнему представляет серьезную угрозу, в том числе для систем промышленной автоматизации.

Среди всех пользователей продуктов «Лаборатории Касперского», подвергшихся атакам троянских программ-вымогателей в 2019 году, более 23% были атакованы именно вредоносной программой WannaCry (в антивирусную базу занесена как Trojan-Ransom.Win32.Wanna).

Уязвимости, обнаруженные специалистами в 2019 году, были выявлены в наиболее часто используемом в системах автоматизации ПО, промышленного контроля и интернета вещей (IoT). Бреши были зафиксированы в инструментах удаленного администрирования (34), SCADA (18), программном обеспечении для резервного копирования (10), а также продуктах интернета вещей, решениях для умных зданий, ПЛК и других промышленных компонентах.

В опубликованном отчёте утверждается, что процент компьютеров АСУ, на которых эксперты нашли вредоносов, составил 43,1%.

В большинстве случаев атакованная система не имела установленного обновления безопасности MS17-010, что позволило WannaCry успешно проэксплуатировать уязвимость в сервисе SMB v1. Однако вредоносный код не был запущен, так как был заблокирован продуктом «Лаборатории Касперского».

Подавляющее большинство компьютеров АСУ, атакованных WannaCry, работали под управлением Windows 7 и Windows Server 2008 R2. Расширенная поддержка этих продуктов была прекращена в январе 2020 года. Это вызывает особое опасение, поскольку обновления для таких ОС выпускаются только в экстренных случаях, отметили в компании.[6]

Первое место среди всех вымогателей

Даже спустя несколько лет после масштабной кампании с использованием вымогательского ПО WannaCry, от которого пострадало множество пользователей в более чем 100 странах мира, вредонос все еще продолжает заражать устройства и даже в 2019 году занял первое место среди всех вымогателей. Об этом стало известно 10 января 2020 года.

Согласно исследованию специалистов из компании Precise Security, более 23,5% всех атак с использованием вымогательского ПО в 2019 году были связаны с WannaCry, а спам и фишинговые письма оставались самым распространенным источником заражения.

В числе факторов, ведущих к заражению, специалисты указывают спам/фишинговые письма (67%), отсутствие навыков кибербезопасности (36%), ненадежные пароли (30%). Только 16% заражений были осуществлены через вредоносные сайты и рекламу.

Как и другие вымогатели, WannaCry шифрует файлы, хранящиеся на устройстве, и требует от пользователей платы за ключ дешифрования.

Число атак с использованием вымогательского ПО против правительственных учреждений, организаций в сфере здравоохранения, энергетики и образования продолжает расти, сообщают исследователи. Тогда как простые вымогатели блокируют устройства простым способом, более продвинутые вредоносные программы используют метод, называемый криптовирусным вымогательством[7].

Присутствие на сотнях тысяч компьютеров по всему миру

26 декабря 2018 года стало известно, что спустя 18 месяцев после масштабной эпидемии вымогательского ПО WannaCry, от которого пострадало множество пользователей в более чем 100 странах мира, вредонос все еще присутствует на сотнях тысяч компьютеров, свидетельствуют данные компании Kryptos Logic.

По информации Kryptos Logic, каждую неделю фиксируется свыше 17 млн попыток подключения к домену-«выключателю», исходящих от более чем 630 тыс. уникальных IP-адресов в 194 странах. По числу попыток подключения лидируют Китай, Индонезия, Вьетнам, Индия и Россия. Как и следовало ожидать, в рабочие дни количество попыток возрастает по сравнению с выходными.

Присутствие вымогателя на столь большом количестве компьютеров может обернуться серьезной проблемой – для его активации достаточно одного масштабного сбоя в Сети, подчеркивают специалисты.

Ранее Kryptos Logic представила бесплатный сервис TellTale, позволяющий организациям проводить мониторинг на предмет заражения WannaCry или другими известными угрозами[8].

Атака на TSMC

Крупнейший в мире производитель чипов TSMC потерял $85 млн из-за вируса WannaCry. Об этом компания сообщила в финансовом отчете, направленном Тайваньской фондовой бирже (Taiwan Stock Exchange, TSE). Подробнее здесь.

Атака на Boeing

28 марта 2018 года компания Boeing подверглась атаке с использованием печально известного вымогательского ПО WannaCry. По словам старшего инженера компании Майка Вандеруэла (Mike VanderWel), вымогатель попал на системы Boeing в Норт-Чарльстоне (Южная Каролина, США) и стал стремительно распространяться.

«Я слышал, 777 автоматизированных инструментов для сборки лонжеронов могли быть отключены», - цитирует инженера издание CNet[9].

Вандеруэл также выразил обеспокоенность тем, что вредоносное ПО могло инфицировать оборудование для тестирования самолетов и «распространиться на ПО для самолетов». Тем не менее, по словам вице-президента компании Boeing Линды Миллс (Linda Mills), сообщения об инциденте в прессе являются неточными, а опасность слишком преувеличена.

«Наш центр по кибербезопасности обнаружил ограниченное внедрение вредоносного ПО, затронувшее небольшое число систем. Были приняты все необходимые меры, и никаких проблем с производственными процессами или доставкой не возникло», - заявила Миллс.

Атака на LG Electronics

В августе 2017 года вредонос атаковал сервисные центры LG Electronics и вывел из строя их киоски самообслуживания. Компания сообщила об инциденте Корейскому агентству по вопросам интернета и безопасности (KISA), которому удалось взять ситуацию под контроль, поскольку атака находилась на начальном этапе[10].

Как сообщил пресс-секретарь LG Electronics изданию Korea Herald, попытка вымогателя атаковать компанию провалилась. Незамедлительное отключение сетей сервисных центров позволило избежать шифрования данных и требования выкупа. По данным KISA, киоски были инфицированы WannaCry, однако, каким образом вредонос попал на системы, неизвестно. Возможно, кто-то целенаправленно установил программу на устройства. Не исключено также, что злоумышленники обманным путем заставили кого-то из сотрудников загрузить вредонос.

Атаки на автопроизводителей

21 июня 2017 года Honda Motor сообщила о приостановке производства автомобилей на одном их заводов после атаки вируса-вымогателя WannaCry на компьютерные системы японского производителя.

Речь идет о предприятии Honda, расположенном в городе Саяма (префектура Сайтама, Япония; находится к северо-западу от Токио). Там производятся седан Honda Accord, минивэны Honda Odyssey и Honda Step Wagon. Ежедневный объем выпуска машин на фабрике составляет около 1000 штук.

Honda остановила работу завода после атаки вируса WannaCry

Как рассказала агентству Reuters представитель Honda, 18 июня 2017 года компания обнаружила, что вредоносная программа WannaCry попала в сети компании в Японии, Северной Америке, Европе, Китае и других регионов, несмотря на предпринятые в середине мая меры по обеспечению безопасности систем.

Система управления производственными линиями на заводе в Саяме была поражена вирусом-шифровальщиком. За разблокировку данных злоумышленники требовали вознаграждение.

В результате предприятие было закрыто на сутки, 20 июня 2017 года его нормальная работа возобновилась. Другие производственные объекты Honda функционировали в штатном режиме.

В результате распространения WannaCry более 200 тыс. компьютеров в 150 странах оказались заблокированными. Помимо Honda, от вируса пострадали другие автопроизводители, включая Renault и Nissan Motor, которые из-за кибератаки вынуждены были временно заморозить производство на заводах в Японии, Великобритании, Франции, Румынии и Индии.

Хотя WannaCry атаковал Windows-компьютеры, у автопроизводителей возникли опасения, что вирус может нарушить работу автомобильной электроники. Тал Бен-Давид, вице-президент компании Karamba Security, которая предлагает ПО безопасности для соединенных с сетями и самоуправляемых автомобилей, считает, что для безопасности машин компании должны устанавливать надежные фабричные настройки без возможности изменения.[11]

Заражение дорожных камер

В июне 2017 года создатели печально-известного вируса-вымогателя WannaCry невольно помогли австралийским водителям избежать штрафов за превышение скорости, сообщает BBC News.[12]

Вредоносное ПО, из-за которого в мае заблокированными оказались сотни тысяч компьютеров под управлением Windows по всему миру, спустя примерно месяц после глобальной атаки поразило более пяти десятков дорожных камер, преимущественно расположенных в центральной части Мельбурна.

В Австралии полиция отменила 590 штрафов водителям из-за вируса WannaCry

Заражение 55 камер, следящих за соблюдением правил на дорогах Австралии, произошло во время технического обслуживания (NJ) 6 июня. Сотрудник, проводивший ТО, подключил к системе видеонаблюдения инфицированный USB-накопитель и неумышленно загрузил вирус.

WannaCry в системе видеонаблюдения выявили после того, как полицейские заметили, что камеры слишком часто перезагружаются. По данным Bleeping Computer, перезагрузка происходила раз в несколько минут, однако несмотря на это, камеры продолжали работать и фиксировать нарушения.[13]

В результате инцидента полиция австралийского штата Виктория отменила 590 штрафов за превышение скорости и проезды на красный сигнал светофора, хотя правоохранители уверяют, что все штрафы были назначены верно.

Исполняющий обязанности заместителя комиссара Росс Гюнтер (Ross Guenther) пояснил, что общественность должна быть полностью уверена в правильности работы системы, поэтому в полиции и приняли такое решение.

Хотя основная волна атак WannaCry пришлась на середину мая 2017 года, шифровальщик продолжает причинять беды еще около двух месяцев. Ранее в американской ИБ-компании KnowBe4 подсчитали, что ущерб от WannaCry лишь за первые четыре дня распространения составил более $1 млрд, включая потери в результате утраты данных, снижения производительности, сбоев в работе бизнеса, а также репутационный вред и другие факторы.[14]

Первая атака на медоборудование

WannaCry стал первым вирусом-шифровальщиком, который атаковал не только персональные компьютеры лечебных учреждений, но и непосредственно медицинскую аппаратуру.

17 мая 2017 года издание Forbes опубликовало снимок экрана устройства Bayer Medrad, зараженного WannaCry, печально известным вирусом-вымогателем, жертвами которого стали более 200 тысяч Windows-компьютеров в 150 странах мира.

Снимок экрана зараженного вирусом WannaCry устройства Bayer Medrad, которе используется при проведении МРТ-обследования

Оборудование Bayer Medrad используется рентгенологами для введения в тело пациента контрастного вещества при проведении магнитно-резонансной томографии, пояснили в издании. В каком именно лечебном учреждении был сделан снимок, не сообщается. Сказано лишь, что фото предоставил источник в системе здравоохранения США, то есть речь о какой-то из американских больниц.

Представитель Bayer подтвердил, что компанию проинформировали о двух случаях заражения оборудования, однако какие именно модели пострадали, не уточняется.

«
В обоих случаях работа устройств была восстановлена в течение 24 часов. При взломе компьютерной сети медицинского учреждения заражению может подвергнуться и оборудование Bayer под управлением ОС Windows, подключенное к сети, — заявил пресс-секретарь.
»

Обычно от вредоносного ПО страдают Windows-компьютеры, которыми пользуются в медучреждениях. В частности, WannaCry поразил ПК почти в пяти десятках больниц Великобритании. Инцидент с Bayer Medrad — первый случай, когда жертвой шифровальщика стало само медицинское устройство, подчеркнули в Forbes.

WannaCry смог проникнуть в медоборудование, так как в качестве операционной системы в нем использовалась версия ОС Windows Embedded, поддерживающая уязвимый протокол SMBv1, который и стал начальной точкой заражения.

В тот же день ряд крупнейших производителей медицинских устройств, такие как Smiths Medical, Medtronic и Johnson & Johnson, распространили предупреждения об угрозе заражения, но информации об инцидентах с их оборудованием не поступало.[15]

Касперский призывает ввести государственную сертификацию софта для медицинских учреждений

В ходе недавней выставки CeBIT Australia глава производителя антивирусного ПО KasperskyLab Евгений Касперский поделился некоторыми размышлениями, касающимися вируса-вымогателя WannaCry. От действий последнего пострадали сотни тысяч пользователей из 150 стран, пишет издание ZDNet[16].

Учитывая, что в первую очередь WannaCry поразил сеть медицинских учреждений, их защита является делом первостепенной важности, считает глава антивирусной компании и требует вмешательства государства. «Меня не покидает мысль, что правительствам стоит уделять больше внимания регулированию киберпространства, по крайней мере, это касается критически важной инфраструктуры здравоохранения», — сказал Евгений.

По его мнению, сертификация медицинских учреждений должна включать определённые требования, которые гарантируют защиту ценных данных. Одним из них является получение специальных разрешений, которые удостоверяют, что та или иная клиника обязуется делать резервное копирование данных по графику, а также своевременно производить обновления ОС. Помимо этого государство должно составить перечень обязательных к использованию в секторе здравоохранения систем и приложений (вместе со спецификациями, которые требуются им для безопасного интернет-подключения).

Евгений Касперский считает, что поставляемая производителями медицинского оборудования техника также должна подчиняться требованиям государственных органов. «Производители медтехники выпускают сертифицированную продукцию, которую по условиям контракта нельзя модифицировать. Во многих случаях эти требования не позволяют заменить или обновить ПО в таком оборудовании. Неудивительно, что Windows XP может оставаться непропатченной многие годы, если не навсегда», — говорит эксперт.

Карта распространения и ущерб от вымогателя WannaCry

Американские эксперты оценили ущерб от масштабной хакерской атаки, которая в начале мая 2017 года обрушилась на компьютерные системы госорганов, крупных корпораций и других учреждений в 150 странах мира. Этот ущерб, уверены оценщики KnowBe4, составил $1 млрд. По этим данным, всего WannaCry поразил от 200 тыс. до 300 тыс. компьютеров.

«Предполагаемый ущерб, нанесенный WannaCry за первые четыре дня, превысил $1 млрд, учитывая вызванные этим масштабные простои крупных организаций по всему миру», — заявил глава KnowBe4 Стью Сьюверман. В общую оценку ущерба вошли потеря данных, снижение производительности, простои в работе, судебные издержки, репутационные ущербы и другие факторы.
Данные на 18.05.2017

Распространение в России

Россия вошла в тройку стран по распространению вируса

В конце мая 2017 года компания Kryptos Logic, разрабатывающая решения для обеспечения кибербезопасности, опубликовала исследование, которое показало, что Россия вошла в тройку стран с наибольшим количеством хакерских атак с использованием вируса-вымогателя WannaCry.

Выводы Kryptos Logic основаны на числе запросов к аварийному домену (kill switch), который предотвращает заражение. В период с 12 по 26 мая 2017 года эксперты зафиксировали порядка 14-16 млн запросов.

Диаграмма, отражающая страны с наибольшим распространением вируса WannaCry в первые две недели, данные Kryptos Logic

В первые дни массового распространения WannaCry антивирусные компании сообщали, что большая часть (от 50% до 75%) кибернападений при помощи этого вируса пришлась на Россию. Однако, по данным Kryptos Logic, лидером в этом отношении стал Китай, со стороны которого зафиксировано 6,2 млн запросов к аварийному домену. Показатель по США составил 1,1 млн, по России — 1 млн.

В десятку государств с наибольшей активностью WannaCry также вошли Индия (0,54 млн), Тайвань (0,375 млн), Мексика (0,3 млн), Украина (0,238 млн), Филиппины (0,231 млн), Гонконг (0,192 млн) и Бразилии (0,191 млн).

Тот факт, что в Китае зафиксировано больше всего попыток заражения компьютеров вирусом WannaCry, эксперты объясняют медленным проникновением операционной системы Windows 10. Большая часть ПК в Поднебесной к концу мая 2017 года по-прежнему базируется на Windows 7 или Windows XP.

По данным «Лаборатории Касперского», более 98% пострадавших от WannaCry компьютеров управляются Windows 7. В Kryptos Logic подтвердили, что червь действительно заражает в основном устройства на «семерке», поскольку другие ОС (даже устаревшая Windows XP) гораздо менее уязвимы к этому вирусу и при попытке заражения просто не дают вредоносной программе установиться или отключают компьютер запуском «синего экрана смерти».[17]

Глава Минсвязи: WannaCry не поражал российское ПО

Вирус WannaCry не поражал российское программное обеспечение, а находил слабые места в зарубежном ПО, заявил министр связи и массовых коммуникаций РФ Николай Никифоров в программе "Мнение" "Вести.Экономика" в мае 2017 года.

Он признал, что в некоторых госпредприятиях были проблемы из-за этого вируса. Поэтому информационные технологии, работающие в России, должны быть "наши технологии, российские", подчеркнул Никифоров.

"Более того, у нас есть научно-технический потенциал. Мы одна из немногих стран, которая при некоторых усилиях, организационных, финансовых, технических, способна создать весь стек технологий, позволяющих чувствовать себя уверенно", - заявил министр.
"Вирус не поражал отечественное ПО, вирус поражал зарубежное ПО, которое мы массово используем", - подчеркнул он.

Совбез РФ: WannaCry не нанес серьезного ущерба России

В Совбезе РФ оценили ущерб, который вирус WannaCry нанес объектам инфраструктуры России. Как заявил заместитель секретаря Совбеза РФ Олег Храмов, вирус WannaCry не нанес серьезного ущерба объектам критической информационной инфраструктуры России.

К данным объектам относятся информационные системы в оборонной промышленности, области здравоохранения, транспорта, связи, кредитно-финансовой сфере, энергетике и других.

Храмов напомнил, что для надежной защиты собственной критической информационной инфраструктуры в соответствии с указом президента Российской Федерации последовательно создается государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

«Благодаря упомянутой государственной системе удалось избежать серьезного ущерба. Критическая информационная инфраструктура оказалась готовой противостоять масштабному распространению этого вируса», — заявил Олег Храмов[18].

При этом заместитель секретаря СБ РФ подчеркнул, что подобные угрозы информационной безопасности становятся все более изощренными и масштабными.

Атака на МВД

12 мая 2017 года стало известно об атаке вируса WannaCry на компьютеры Министерства внутренних дел (МВД) России. Зараженными оказались 1% систем ведомства.

Как сообщило РИА Новости со ссылкой на официального представителя МВД РФ Ирину Волк, Департамент информационных технологий, связи и защиты информации (ДИТСиЗИ) МВД России зафиксировал вирусную атаку на персональные компьютеры ведомства, на которых установлена операционная система Windows.

Министерство внутренних дел России сообщило, что 12 мая его серверы подверглись хакерской атаке
«
Благодаря своевременно принятым мерам было блокировано порядка тысячи зараженных компьютеров, что составляет менее 1%. В настоящий момент вирус локализован, проводятся технические работы по его уничтожению и обновлению средств антивирусной защиты, — сообщила Волк 12 мая 2017 года.
»

Она также отметила, что WannaCry не смог заразить серверные ресурсы МВД, поскольку они используются другие операционные системы и серверы на российских процессорах «Эльбрус». [19]

Ряд персональных компьютеров сотрудников ведомства подвергся заражению WannaCry вследствие нарушения сотрудниками правил пользования информационными системами. Причиной инфицирования стали попытки работников МВД подключить служебные компьютеры к интернету «посредством того или иного механизма». Зараженными оказались исключительно персональные компьютеры сотрудников, внутренняя сеть министерства внутренних дел защищена от внешнего воздействия.

Атака на «большую тройку»

12 мая 2017 года «МегаФон» сообщил о хакерской атаке на свои компьютеры с использованием вируса. Оператор утверждает, что ему удалось избежать серьезных последствий благодаря вовремя предпринятым мерам.

«
На некоторый срок заблокировалась работа операторов call-центров, они не могли включить свои компьютеры, в точках розничных продаж были проблемы. Поэтому мы были вынуждены внутри нашей сети частично отключать целые сети для того, чтобы вирус не распространялся, — рассказал РИА Новости директор по связям с общественностью компании Петр Лидов.
»

«МегаФон» отбил атаку благодаря использованию технологий виртуализации (когда файловые ресурсы пользователей размещаются в защищенном «облаке») и реализации технологических мер, ограничивающих распространение вируса. Представитель МТС сообщил ТАСС Информационное агентство России, что атаки на компьютеры сотрудников оператора были зафиксированы ночью. "Мы их отразили", — добавил он.

«ВымпелКом» также заявил о том, что успешно отразил атаку. В пресс-службе «Ростелекома» сообщили, что в компании фиксировали факт атаки.

После атаки WannaCry «дочка» «Мегафона» ищет новых ИТ-директоров

«Мегафон.Ритейл» - розничная «дочка» сотового оператора «Мегафон» - в мае 2017 года начала поиск новых руководителей и специалистов своего ИТ-подразделения. Такие вакансии размещены «Мегафоном» в базе Headhunter.ru[20].

В Москве ведется поиск кандидатов на позиции «руководитель ИТ» и «директор по информационным технологиям» «Мегафон.Ритейл». Поиск этих вакансий начался в период с 17 по 26 мая 2017 г. Искомые компанией специалисты должны отвечать за эффективную организацию ИТ, организацию бесперебойной работы ИТ-сервисов и инфраструктуры, реализацию федеральных ИТ-проектов и пр.

Издание «Роем.ру» увязывает открытие вакансий ИТ-руководителей «Мегафон.Ритейла» с глобальной атакой вируса-вымогателя WannaCry, начавшейся 12 мая 2017 г.

Атака на Сбербанк

Сбербанк сообщил, что зафиксировал попытки хакерской атаки на свою инфраструктуру, однако все они были отражены. «Системы информационной безопасности своевременно зафиксировали попытки проникновения в инфраструктуру банка. Сеть банка предусматривает защиту от подобных атак. Проникновений вирусов в систему не произошло», — сказано в сообщении Сбербанка, поступившем в РБК. В нем также подчеркивается, что в связи с сообщениями о вирусных атаках службы банка, отвечающие за кибербезопасность, переведены в режим повышенной готовности.

На смену WannaCry

Эксплойт EternalBlue на Windows 10

Специалисты компании RiskSense опубликовали в июне 2017 года пространный доклад о том, как можно заставить работать эксплойт EternalBlue в среде Windows 10, ранее в ней не функционировавший.

EternalBlue - это один из «эксплойтов АНБ», похищенных у кибергруппировки Equation в 2016 г. В середине апреля 2017 г. этот эксплойт, наряду с несколькими другими, распространила группа The Shadow Brokers. Вскоре после этого произошла глобальная эпидемия шифровальщика-вымогателя WannaCry, в котором использовался данный эксплойт[21].

В опубликованном документе исследователи показали, как им удалось обойти инструменты защиты Windows 10 - в частности, придумать новый способ обойти DEP (Data Execution Prevention, функция предотвращения выполнения данных) и ASLR (address space layout randomization — «рандомизация размещения адресного пространства»).

Вирусы Adylkuzz и Uiwix

Специалисты компании Proofpoint обнаружили вирус Adylkuzz, который использует ту же уязвимость в Windows, что и WannaCry. Вирус крадет криптовалюту и уже поразил более 200 тыс. компьютеров. При этом хакеры, создавшие Adylkuzz, заработали уже около 43 000 долларов[22].

Исследователи отмечают, что Adylkuzz начал атаки раньше WannaCry — как минимум 2 мая, а возможно и 24 апреля. Вирус не привлек к себе так много внимания, потому что заметить его гораздо сложнее. Единственные «симптомы», на которые может обратить внимание пострадавший, это замедление работы ПК, так как вирус оттягивает на себя ресурсы системы.

При этом  Adylkuzz защитил пострадавших от него пользователей от атак WannaCry, так как закрыл собой брешь в Windows и не позволил другому вирусу ей воспользоваться.

Кроме того, после WannaCry появился еще один шифровальщик — Uiwix, который также использует нашумевшую уязвимость в Windows. Об этом заявили специалисты компании Heimdal Security.

Uiwix, в отличи от многочисленных подражателей WannaCry, действительно шифрует файлы жертв и представляет реальную угрозу. К тому же Uiwix не имеет механизма «аварийного отключения», поэтому невозможно остановить его распространение, зарегистрировав определенный домен.

Данный вирус шифрует данные жертв и требует выкуп в размере 0.11943 биткоина (порядка 215 долларов по текущему курсу).

Попытки наживаться на WannaCry от создателей других вирусов

В июне 2017 года исследователи из компании RiskIQ обнаружили сотни мобильных приложений, выдающих себя за средства защиты от шифровальщика WannaCry, на деле оказываясь в лучшем случае бесполезными, в худшем — вредоносными. Подобные приложения являются частью более масштабной проблемы — фальшивых мобильных антивирусов. Подробнее здесь.

Ошибки в коде WannaCry

Код WannaCry был полон ошибок и имел очень низкое качество. До такой степени низкое, что некоторые жертвы могут восстановить доступ к своим оригинальным файлам даже после того, как те были зашифрованы.

Анализ WannaCry, проведенный исследователями из специализирующейся на безопасности «Лаборатории Касперского», выявил, что большинство ошибок означает, что файлы могут быть восстановлены с помощью общедоступных программных инструментов или даже простых команд[23].

В одном случае ошибка WannaCry в механизме обработки файлов только для чтения означает, что он вообще не может шифровать такие файлы. Вместо этого вымогатель создает зашифрованные копии файлов жертвы. При этом оригинальные файлы остаются неприкосновенными, но помечаются как скрытые. Это означает, что файлы легко вернуть, просто сняв атрибут «скрытый».

Это не единственный пример плохого кодирования WannaCry. Если вымогатель проникает в систему, файлы, которые его разработчики не считают важными, перемещаются во временную папку. В этих файлах содержатся оригинальные данные, которые не перезаписываются, а лишь удаляются с диска. Это означает, что их можно вернуть, используя ПО для восстановления данных. К сожалению, если файлы находятся в «важной» папке, такой как Документы или Рабочий стол, WannaCry запишет поверх оригинальных файлов случайные данные, и в этом случае их восстановление будет невозможным.

Тем не менее, множество ошибок в коде дает надежду пострадавшим, поскольку любительский характер вымогателя предоставляет широкие возможности для восстановления, по крайней мере, файлов.

«Если вы были заражены вымогателем WannaCry, велика вероятность, что вы сможете восстановить многие файлы на своем пострадавшем компьютере. Мы рекомендуем частным лицам и организациям использовать утилиты восстановления файлов на пострадавших машинах в своей сети», — сказал Антон Иванов, исследователь безопасности из «Лаборатории Касперского».

Уже не первый раз WannaCry характеризуется как некая любительская форма вымогателя. А тот факт, что за три недели после атаки лишь мизерная доля зараженных жертв выплатила в общей сложности 120 тыс. долл. в биткоинах в виде выкупа, позволяет утверждать, что вымогатель, хотя и вызвал массовый переполох, не сумел получить больших денег, что является конечной целью программ-вымогателей.

Инструмент для удаления WannaCry

Windows XP является одной из уязвимых операционных систем, пораженных вымогательским ПО WannaCry. Несмотря на выход исправляющих уязвимость обновлений, огромное количество компьютеров стали жертвами вредоноса. К счастью, французский исследователь безопасности Адриан Гине (Adrien Guinet) разработал инструмент, позволяющий удалить WannaCry с системы без уплаты выкупа.

Стоит отметить, инструмент работает только в случае, если после заражения системы компьютер не был перезагружен. Если система была перезапущена, и WannaCry зашифровал файлы, программа Гине будет бесполезна.

Разработанный исследователем инструмент ищет ключ для дешифровки в памяти самого компьютера и способен восстановить простые числа закрытого RSA-ключа, используемого WannaCry при шифровании файлов жертвы. Как пояснил Гине, его инструмент ищет числа в процессе wcry.exe, генерирующем закрытый RSA-ключ.

После зашифровки закрытого ключа его незашифрованная версия удаляется из памяти инфицированного компьютера с помощью функции CryptReleaseContext. Тем не менее, как пояснил исследователь, CryptDestroyKey и CryptReleaseContext стирают только указывающий на ключ маркер, но не числа, благодаря чему закрытый ключ можно извлечь из памяти.

Программа работает только на Windows XP и не тестировалась на других версиях ОС. Скачать инструмент можно с репозитория GitHub.

Как обезопасить свой компьютер от заражения?

  • Установите все обновления Microsoft Windows.
  • Убедитесь, что все узлы сети защищены комплексным антивирусным ПО. Рекомендуем технологии на базе эвристики, которые позволяют детектировать новые угрозы и обеспечить защиту от так называемых атак нулевого дня. Это повышает безопасность в случае, если в систему проникает ранее неизвестная вредоносная программа.
  • Откажитесь от использования ОС Microsoft Windows, которые не поддерживаются производителем. До замены устаревших операционных систем используйте обновление, выпущенное Microsoft для Windows XP, Windows 8 и Windows Server 2003.
  • Используйте сервисы для доступа к информации о новейших угрозах.
  • При подозрении на заражение отключите инфицированные рабочие станции от корпоративной сети и обратитесь в службу технической поддержки вашего поставщика антивирусных решений за дальнейшими рекомендациями.

Подробнее смотрите Защита от целевых атак шифровальщиков.

Смотрите также

Примечания

  1. Эпидемия шифровальщика WannaCry: что произошло и как защититься
  2. WannaCry ransomware used in widespread attacks all over the world
  3. По материалам gazeta.ru
  4. США официально обвинили КНДР в атаках WannaCry
  5. IBM Report: Ransomware Persisted Despite Improved Detection in 2022
  6. Около 35% кибератак на промпредприятия в 2019 году пришлось на вирус WannaCry
  7. WannaCry стало самым опасным вымогательским ПО в 2019 году
  8. Спустя 1,5 года вымогатель WannaCry все еще присутствует на сотнях тысяч компьютеров
  9. Boeing стала новой жертвой WannaCry
  10. Вымогатель WannaCry снова взялся за старое
  11. Honda halts Japan car plant after WannaCry virus hits computer network
  12. WannaCry helps speeding drivers dodge fines in Australia
  13. WannaCry Ransomware Infects 55 Speed and Red-Light Cameras in Australia
  14. Here’s one tally of the losses from WannaCry ransomware global attack
  15. Medical Devices Hit By Ransomware For The First Time In US Hospitals
  16. Касперский призывает ввести государственную сертификацию софта для медицинских учреждений
  17. WannaCry: Two Weeks and 16 Million Averted Ransoms Later
  18. По материалам газеты «Коммерсантъ»
  19. Компьютеры МВД подверглись кибератаке
  20. После атаки WannaCry «дочка» «Мегафона» ищет новых ИТ-директоров
  21. Эксперты выяснили, какая ОС станет новой жертвой WannaCry
  22. По материалам xakep.ru, ТАСС Информационное агентство России, PLUSworld.ru
  23. Ошибки в коде WannaCry дают ее жертвам шанс вернуть свои файлы