Вирусная история

Posted on 15 May, 2017 by CEO

Что известно об атаке WannaCry

Мир стал свидетелем крупнейшей вирусной атаки в истории. Накануне вечером всего за пару часов вирус WannaCry заразил десятки тысяч компьютеров по всему миру.

Информация о заражении поступила более чем из 70 стран. Вредоносная программа блокирует компьютер, шифрует все файлы и требует выкуп в криптовалюте за разблокировку. В России были атакованы региональные управления МВД, вирус в своей ИТ-системе обнаружила компания РЖД — там отметили, что на перевозках это никак не сказалось. О безуспешных попытках заражения систем кредитных организаций заявили в Банке России.

В пресс-службе МВД сообщили, что атакам подверглись менее 1% компьютеров ведомства: «Вирус локализован, проводятся технические работы по его уничтожению и обновлению средств антивирусной защиты. Стоит отметить, что утечка служебной информации с ресурсов Министерства внутренних дел России полностью исключена».

Первые сообщения о вирусе поступили из британских больниц и от испанских компаний. Правительство Соединенного Королевства было вынуждено объявить чрезвычайное положение в системе здравоохранения.

The Financial Times со ссылкой на источники сообщает, что для масштабной хакерской атаки злоумышленники использовали программу, которую изначально разработало Агентство национальной безопасности США. По данным издания, прежде чем использовать вирус, киберпреступники его модицировали. Такое же предположение в своем Twitter сделал и бывший сотрудник американских спецслужб Эдвард Сноуден.

 Edward Snowden ✔ @Snowden

Despite warnings, @NSAGov built dangerous attack tools that could target Western software. Today we see the cost: https://www.nytimes.com/2017/05/12/world/europe/uk-national-health-service-cyberattack.html …

21:53 - 12 May 2017

  3 772 3 772 Ретвита   3 072 3 072 отметки «Нравится»

Несмотря на предупреждения, АНБ создало опасные инструменты атаки, которые могут поразить западное ПО. Сегодня мы увидели этому цену.

В Испании уже началось расследование причин массовых атак. В стране от нового вируса пострадало около десяти компаний, отметила собственный корреспондент «Коммерсантъ FM» в Испании Дарья Гаврилова: «Больше всех в Испании пострадала от атаки компания Telefonica, которая обеспечивает сотовую связь, интернет и оказывает другие услуги связи. Сотни компьютеров в центральном офисе этой компании в Мадриде были атакованы вирусом. Правительство Испании признало атаку и связалось со всеми атакованными компаниями для того, чтобы оценить масштабы ущерба. Были атакованы коммуникационные компании, банки, организации сферы ЖКХ, страховщики. Они уверили своих клиентов, что утечки персональных данных не произошло, волноваться не стоит».

В России, помимо госучреждений, банков и РЖД, атакам также подверглись частные компании, в том числе мобильные операторы. При этом ни одна из российских компаний пока не заявляла о переводе денег злоумышленникам. По данным «Лаборатории Касперского», сумма выкупа одного компьютера составляет $600 в биткоинах. Однако в компании «Мегафон» накануне рассказали «Коммерсантъ FM», что от них требовали в два раза меньше.

Подобные вирусные атаки будут происходить все чаще, однако обычных пользователей, скорее всего, не коснутся, считает руководитель Агентства кибербезопасности Евгений Лифшиц: «Вирус так и сделаны, чтобы их можно было постоянно модифицировать. А антивирус защищает от текущей версии вредоносной программы. Почему в базе антивирусов сотни тысяч вирусов? Хакеры дорабатывают вредоносное ПО для того, чтобы обойти защиту. Отследить такого рода кибератаки довольно сложно, практически невозможно».

Вирус поражает только компьютеры с операционной системой Windows, находя уязвимость в ее старой версии. В марте Microsoft выпустила обновление, которое на пользовательских компьютерах должно было установиться автоматически. Скорее всего, проблемы возникли только в тех организациях, где не обновляли систему.

Приостановить распространение вируса удалось практически случайно благодаря регистрации бессмысленного доменного имени. Программист, который ведет блог Malware Tech Blog, выяснил, что вирус постоянно обращается к длинному непонятному адресу, и зарегистрировал его на свое имя, чтобы следить за активностью программы. Оказалось, код вируса был составлен так, что процесс заражения прекращается, если обращение к домену прошло успешно.

Наблюдатели и эксперты задаются вопросом, кто стоит за вирусной атакой. Речь с большой долей вероятности идет о группировке, считает генеральный директор агентства разведывательных технологий «Р-Техно» Роман Ромачев: «Я думаю, что это организованная группа хакеров, потому что распространить по всему миру вирус одному человеку достаточно сложно, а тут глобальный охват. Цели этих действий не политические, а, скорее, зарабатывание денег — получить выкуп за разблокировку компьютера. Для наших правоохранительных органов назрела необходимость серьезного аудита информационной безопасности. Ситуация показала, что наши ведомства недостаточно готовы к такому».

Британские СМИ уже разглядели во всемирной кибератаке российский след. Как сообщила газета The Telegraph, за произошедшим стоит группировка Shadow Brokers, которая якобы может быть связана с Россией и мстить за удары США по сирийской авиабазе.

Время для столь масштабной хакерской атаки было выбрано неслучайно, уверен сооснователь проекта «Битрикс24» Сергей Рыжиков: «То, что происходит сейчас, скорее всего, является эхом недавних утечек и уязвимостей, в частности, в Microsoft, или данных, которые утекли из пакетов ФБР и ЦРУ со всякого рода нулевыми уязвимостями и возможностями взлома операционных систем. Уже давно следовало ожидать после этих утечек появления и эксплуатации теми или иными вирусами. Без сомнения, будут фиксы, будут антивирусы, устранения уязвимостей, но, скорее всего, подобные атаки будут повторяться. За последнее время было просто огромное количество утечек самой разной информации, дающей возможность для фантазии атакующих».

По данным ТАСС, из-за кибератак в нескольких российских регионах ГИБДД приостановила выдачу водительских прав и госномеров. Вирус затронул серверы инспекции в Санкт-Петербурге, Татарстане, Новосибирске.

 Следите за материалами «Ъ FM» в ВКонтакте

"Коммерсантъ FM" от 13.05.2017, 16:06

https://www.kommersant.ru/doc/3296766