Атака без границ: организации в десятках стран пострадали от вируса-вымогателя WannaCry
Организации в десятках стран пострадали от вируса WannaCry
- © Duncan Hull
Десятки тысяч компьютеров в 74 странах были заражены 12 мая вирусом-шифровальщиком WanaCrypt0r 2.0 (также обозначается как WannaCry). Вредоносная программа, требующая для разблокировки выкуп в размере $600 в криптовалюте биткоин, поразил компьютерные системы крупных организаций по всему миру, в том числе и российских ведомств.
Первыми о масштабном распространении вируса сообщили программисты из команды MalwareHunterTeam, опубликовавшие соответствующее сообщение ещё в 04:00 12 мая.
«Ransomware-вирус WanaCrypt0r 2.0 чертовски быстро распространяется», — сообщила группа. Согласно их данным больше всего атак по состоянию на утро пятницы наблюдалось в России, на Тайване и в Испании.
So, WanaCrypt0r 2.0 ransomware (the new WCry/WannaCry) is spreading like hell.
— MalwareHunterTeam (@malwrhunterteam) 12 мая 2017 г.
Yesterday's "massive" Jaff campaign compared to this: small.
К вечеру пятницы в ряде СМИ появилась информация, что хакерам удалось заразить компьютерные сети Национальной системы здравоохранения Великобритании, в результате чего была временно нарушена работа 25 медицинских учреждений в Англии и Шотландии. Из Испании сообщения о кибератаках с применением вируса WannaCry поступили от телекоммуникационной компании Telefonica, банка Iberica, энергокомпании Iberdrola и Gas Natural. Об атаках на свои компьютеры сообщил и американский почтовый гигант FedEx.
Инструмент АНБ
Некоторые эксперты указали на метод распространения вируса с помощью «дыры» в безопасности системы Windows. Об этом заявила, в частности, группа The Shadow Brokers, которая также сообщила, что выложила в свободный доступ хакерские программы, украденные у Агентства национальной безопасности США. О том, что данная атака была проведена с помощью программ, разработанных в недрах АНБ, заявил и бывший сотрудник ведомства Эдвард Сноуден.
«Ого: решение АНБ создавать инструменты атаки против американского программного обеспечения теперь угрожает жизням пациентов больниц», — написал Сноуден в своём Twitter.
Поддержал его и портал WikiLeaks, напомнивший, что ранее не раз предупреждал о бесконтрольном распространении вредоносного программного обеспечения американскими спецслужбами в серии своих публикаций Vault 7.
«Если не можешь сохранить в тайне — не создавай: источник Vault 7 предупреждал об огромном риске распространения кибероружия США среди преступников», — сообщается в Twitter организации.
If you can't secure it--don't build it: #Vault7 whistleblower warned US cyber weapons are extreme proliferation risk https://t.co/K7wFTdlC82pic.twitter.com/SP1x7AfDF6
— WikiLeaks (@wikileaks) 12 мая 2017 г.
В России атакам подверглись серверы и компьютерные системы оператора сотовой связи «МегаФон», Сбербанка а также МВД и МЧС. Компании «МегаФон» временно пришлось отключить часть компьютерной системы и приостановить работу кол-центра. Сбербанк, МВД и МЧС заявили, что хакерам не удалось проникнуть через их системы защиты.
«Все попытки вирусных атак на компьютеры были блокированы, заражению не подвергся ни один компьютер. Все интернет-ресурсы МЧС России работают в штатном режиме», — приводит ТАСС слова представителя ведомства.
«Системы информационной безопасности своевременно зафиксировали попытки проникновения в инфраструктуру банка. Сеть банка предусматривает защиту от подобных атак. Проникновения вирусов в систему не произошло», — говорится в сообщении Сбербанка.
Кроме российских, вирусом были также атакованы ведомства Швеции. Там вирус поразил около 70 компьютеров муниципалитета Тимра к северу от Стокгольма.
Агентство Интерфакс со ссылкой на осведомлённый источник сообщило, что атака на серверы МВД не привела к утечке информации.
Интернациональная группа
В данном случае речь идёт о распространении нового типа вируса ransomware, считает эксперт по информационной безопасности ЗАО «Монитор безопасности» Тарас Татаринов.
«Судя по всему, речь идёт не о таргетированной хакерской атаке, а о распространении какого-то нового типа вируса ransomware», — отметил эксперт в разговоре с RT.
По его мнению, такие программы создают высокопрофессиональные злоумышленники, отследить которых крайне затруднительно, почти невозможно.
«По крайней мере, техническими средствами определить, кто является автором вредоносной программы, нельзя. То, что охвачено такое большое количество стран, свидетельствует о том, что действовала команда преступников, но совсем не обязательно, что они совершили нападение из одного какого-то государства, это могла быть интернациональная группа», — заявил Татаринов.
Генеральный директор компании Zecurion Алексей Раевский заявил в разговоре с RT, что не верит, будто киберпреступники специально выбирали цели для своей масштабной атаки.
Как отметил эксперт, вероятнее всего, они искали любые компании и ведомства с уязвимостями, а потом их использовали.
«Скорее всего, нашли уязвимости и стали сканировать на предмет того, как воспользоваться ими. Что нашли, то и использовали, так сказать. Вряд ли это были таргетированные атаки на определённые организации», — заявил он.
В распоряжение RT поступило официальное заявление от компании «Лаборатория Касперского».
«Специалисты «Лаборатории Касперского» проанализировали информацию о заражениях программой-шифровальщиком, получившей название WannaCry, с которой 12 мая столкнулись компании по всему миру. Как показал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010. Затем на заражённую систему устанавливался руткит, используя который, злоумышленники запускали программу-шифровальщик», — говорится в заявлении.
«Лаборатория Касперского» зафиксировала порядка 45 тыс. попыток атак в 74 странах.