В пятницу пользователи в 99 странах мира оказались жертвами вируса-вымогателя WannaCry. На долю России в совокупности пришлось свыше 80% взломов. Заражение происходило через сетевую уязвимость Windows, которую Microsoft устранила еще в марте. Ответственность за крупнейший в истории взлом Сноуден возложил на АНБ. Остановить вирус удалось после регистрации бессмысленного доменного имени.
Глобальную атаку вируса-вымогателя WannaCrypt приостановили после регистрации домена iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, рассказал специалист по кибербезопасности, который ведет твиттер @MalwareTechBlog.
Он обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы. В коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Как написал @MalwareTechBlog, когда он регистрировал домен, он не знал, что это приведет к замедлению распространения вируса.
Регистрация вышеупомянутого домена не помогла тем, кто уже был заражен, но дала время другим установить обновление Windows, после которого вирус не работает. Чтобы снова начать заражения, злоумышленникам достаточно изменить несколько строчек кода, где упоминается домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, отмечает «Медуза».
Крупнейшая в истории
12 мая по всему миру началось стремительное распространение вирусной программы WannaCrypt (WannaCry, так называемый Ransomware — софт, предназначенный для вымогания). Заражение вирусом происходило через сетевую уязвимость Microsoft Security Bulletin MS17–010, которую Microsoft закрыла ее еще в марте, под ударом оказались ползователи, не обновившие свою операционную систему.
Вирус шифрует базы данных, блокирует компьютер и выводит сообщение с требованием внести от $200 до $600 выкупа на биткоин-кошелек злоумышленника. Если пользователь откажется платить в течение недели, зашифрованные файлы удалятся. На один из таких кошельков по данным на 13 мая перевели более $ 6,7 тыс.
По данным Avast, заражение затронуло пользователей в 99 странах мира. Всего было зафиксировано 75 тысяч кибератак с использованием вируса WanaCrypt0r 2.0. В свою очередь, в «Лаборатории Касперского» сообщили, что зафиксировали около 45 тысяч попыток хакерских атак в 74 странах по всему миру, при этом наибольшее число попыток заражений наблюдается в России. Атаку 12 мая специалисты уже называют крупнейшим Ransomware-взломом с самой высокой эффективностью в первые 8 часов работы.
Одной из первых атаке подверглась Испания, где жертвами стали крупнейшая телекоммуникационная компания Telefonica, газовая компания Gas Natural, Iberdrola, занимающаяся поставками электричества, банк Santander и филиал консалтинговой компании KPMG. Затем WannaCry появился на серверах Национальной службы здравоохранения Великобритании (NHS). Атака коснулась медицинских учреждений в Лондоне, а также английских городах Блэкберн, Ноттингем и графствах Камбрия и Хартфордшир. Из-за атаки некоторые медучреждения предупредили, что будут принимать только экстренных пациентов. В Германии атаке хакеров также подверглись системы железнодорожного оператора Deutsche Bahn.
WannaCry для следователей
Наибольшее число зараженных компьютеров отмечено в России, на Украине и в Тайване. Среди жертв атаки в России оказались МВД и Следственный комитет. Также хакеры пытались заразить вирусом сети «Мегафона», «Билайна», «Связного», атаки зафиксировали в Минздраве, РЖД, МЧС и Сбербанке. На долю России в совокупности пришлось свыше 80% случаев заражения WannaCry.
По данным источников «Коммерсанта», атака на силовиков была столь мощной, что определенное время не работали даже официальные сайты подразделений МВД в Москве, Калужской, Липецкой и Пензенской областях. Проблемы были и в работе центрального сайта ведомства. После того, как работа восстановилась, на сайтах появилась бегущая строка: «Уважаемые посетители, приносим свои извинения за возможные неудобства при работе с сайтом, ведутся технические работы». При этом в СКР все сайты работали без перебоев. «Никаких хакерских атак на ресурсы Следственного комитета не было. Все работает в штатном режиме»,— заявила ТАСС представитель СКР Светлана Петренко.
Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере ЦБ (ФинЦЕРТ) также фиксировал массовые рассылки банкам вредоносного программного обеспечения, но ресурсы кредитных организаций не скомпрометированы, сообщили РИА Новости в пресс-службе регулятора. «ФинЦЕРТ фиксировал массовые рассылки банкам вредоносного программного обеспечения первого и второго типа. Вместе с тем, фактов компрометации ресурсов кредитных организаций не зафиксировано», - сказали в ЦБ.
Спасибо АНБ
Вирус использовал уязвимость Windows, обнаруженную Агентством национальной безопасности США (АНБ), отмечают опрошенные The New York Times эксперты. В открытый доступ сведения об уязвимости выложила хакерская группа, называющая себя Shadow Brokers, с прошлого года размещавшая украденные инструменты АНБ.
Бывший сотрудник АНБ Эдвард Сноуден обвинил спецслужбы в том, что они не предотвратили глобальную кибератаку. По его словам, АНБ, чьи разработки были украдены и использованы хакерами, знало об опасности данных программ. Он также призвал АНБ рассказать о вероятности уязвимости американского ПО, чтобы не повторился британский сценарий.
«В свете последних событий конгресс должен задать агентству вопрос — не знают ли они еще о каких-нибудь уязвимостях, способных поразить наши больницы», — написал экс-сотрудник АНБ. Он добавил, что если бы ведомство вовремя уведомило о найденных уязвимостях, у пострадавших учреждений были бы годы, чтобы подготовиться к взлому.
В министерстве внутренней безопасности США предложили помощь в борьбе с WannaCry как внутри страны, так и за рубежом. «В министерстве работают профессионалы в области кибербезопасности, которые могут предоставить экспертные знания и поддержку критически важным объектам инфраструктуры», — отмечалось в сообщении. Microsoft позже выступила с официальным заявлением, что выпустила патч для большинства описанных хакерами уязвимостей еще в марте 2017 года — «заплатка» носит название MS 17-010
По данным отчета Verizon Communications Inc, в 2016 году количество кибератак с вымогательством, когда злоумышленник использует вирус, чтобы заблокировать пользовательскую информацию, а потом требует деньги, в 2016 году возросло на 50%Разработчик антивирусного программного обеспечения McAfee подтвердил, что в 2016 году целями кибервымогателей чаще всего становились государственные организации, предприятия здравоохранения и финансовые сервисы, а не отдельные пользователи.