secretmag.ru
Опубликовано 15 мая 2017, 17:14

Кто стоит за вирусом WannaCrypt, который вырубил МВД, РЖД и больницы

И сколько заработают дерзкие хакеры

«Россия здесь совершенно ни при чём». Даже Владимир Путин решил прокомментировать хакерскую атаку года, в результате которой за три последних дня вирус-вымогатель WannaCrypt заблокировал более 200 000 компьютеров в 150 странах.

Кто стоит за вирусом WannaCrypt, который вырубил МВД, РЖД и больницы

«Россия здесь совершенно ни при чём» — даже Владимир Путин решил прокомментировать хакерскую атаку года, в результате которой за три последних дня вирус-вымогатель WannaCrypt заблокировал более 200 000 компьютеров в 150 странах.

WannaCrypt (его также называют WannaCry, WanaCrypt0r 2.0 и Wanna Decryptor) распространяется через локальные сети, поэтому от него пострадали почти исключительно организации, а не индивидуальные пользователи. На интерактивной карте, которую сделала компания Intel, можно следить, как WannaCrypt продолжает распространяться по всему миру в реальном времени. В России жертвами атаки стали, в частности, «Мегафон», «Вымпелком», некоторые банки, а также компьютеры МВД, МЧС и РЖД. У ГИБДД в результате атаки сломалась система выдачи водительских прав. Могло быть хуже. Например, в Великобритании атаке подверглись десятки тысяч компьютеров, установленные в государственных медицинских учреждениях.

Вирус поражает компьютеры с различными версиями Windows (только новейшая Windows 10 вне угрозы). При этом он атакует не только ПК — также пострадали сервера, банкоматы, информационные стенды и даже аппараты МРТ. WannaCrypt шифрует все файлы, добавляя к ним расширение WNCRY. После на экране появляется сообщение, в котором хакеры просят выкуп за дешифровку: нужно перечислить $300 в биткоинах на указанный кошелёк. В левой части экрана — два таймера. Если не заплатить в течение трёх дней сумма выкупа вырастет в три раза, а через неделю WannaCrypt угрожает уничтожить информацию.

Microsoft знала об уязвимости, которую использует вирус, и закрыла её ещё в марте. Все, чьи компьютеры получилось заразить, видимо, просто забыли обновить софт. О том, что эта уязвимость существовала, несколько месяцев назад стало известно в результате утечки данных из Агентства национальной безопасности США. Фактически хакеры использовали инструментарий, разработанный американскими спецслужбами.

Если бы создатели WannaCrypt получили выкуп за каждый из 200 000 заражённых компьютеров, они бы в итоге похитили у пользователей $60 млн. Но к началу сегодняшнего дня хакеры собрали едва $50 000. Компании и государственные учреждения, очевидно, не собираются платить вымогателям. Было бы странно, если бы они повели себя иначе. Какие цели в таком случае преследует эта атака? И кто за ней может стоять? «Секрет» задал эти вопросы экспертам, а также суммировал реакцию, пожалуй, главной жертвы атаки — компании Microsoft, которая получила серьёзный репутационный ущерб.

Кто стоит за вирусом WannaCrypt, который вырубил МВД, РЖД и больницы

Мнения

Илья Сачков
Генеральный директор компании Group-IB

Мотив у хакеров, на мой взгляд, мог быть только один — заработать. Вирусы-шифровальщики — один из самых популярных способов. На компьютере может не быть интернет-банкинга, через который можно украсть деньги, но хоть какая-то важная информация есть: фотографии, почта, базы данных. Обычно вирусы-шифровальщики зарабатывают много. Например, я знаю, что одна зарубежная медицинская компания недавно отдала за расшифровку своих данных $300 000.

Атаку, которая началась в пятницу и продолжается до сих пор, ведут не очень профессиональные злоумышленники. Заражение компьютеров МВД — это случайность, потому что такие жертвы выкуп никому платить не будут. Если оценивать действия хакеров по пятибалльной шкале, я бы поставил им четыре с плюсом за использование уязвимостей и алгоритм распространения, но за креатив — тройку.

Учитывая то, на какие компьютеры попал вирус, можно было бы доставить разные типы вредоносных программ — например, банковские трояны или трояны для шпионажа. Там, где есть платёжная система, нужно воровать деньги, а там, где есть ценная информация, нужно требовать большой выкуп за неразглашение. Но дело в том, что сам по себе вирус-шифровальщик не видит, в компьютере какой организации сидит.

Что касается масштаба атаки. Кажется, что 200 000 компьютеров — это много. На самом деле подобное происходит постоянно — просто информация редко попадает в СМИ. Когда в первые часы наши криминалисты узнали про WannaCrypt, они даже удивились такому хайпу: «Ну да, шифровальщик, что такого?» Тут дело не в том, что что-то сверхновое придумали хакеры, а в том, как это распространялось в новостях.

Для сравнения, трояны под Android каждый день заражают даже не сотни тысяч, а миллионы смартфонов. Такие вирусы тоже могут сильно испортить жизнь. Они крадут деньги, прослушивают разговоры. Злоумышленники могут завладеть вообще всей информацией и, например, начать рассылать какие-то сообщения от имени владельца всем его контактам. Такие трояны — это кошмар.

Не думаю, что создатели WannaCrypt ожидали такого количества новостей — преступность любит тишину. Не факт, что теперь они будут отправлять ключи после оплаты: знаю нескольких людей из России, которые заплатили ещё в пятницу, но код так и не получили. Вероятно, дело в том, что теперь организаторов усиленно ищут спецслужбы всех стран и они боятся высовываться. Если их не поймают и они так же хитро продолжат использовать свежие уязвимости, за год смогут заработать несколько миллионов долларов. Но я готов поставить бутылку шампанского на то, что их арестуют в ближайшие три месяца.

Где их искать? Много компьютеров заражено в России и США, поэтому, скорее всего, злоумышленники вряд ли находятся в этих двух странах. Если, конечно, эти люди не идиоты. Вообще, шифровальщики любят азиатские страны. Возможно, это дело рук китайских хакеров.


Александр Лямин
Генеральный директор Qrator Labs

Атака WannaCry — вовсе не крупнейшая, как про неё многие говорят. Бывали и покрупнее — вспомнить хотя бы Conficker в 2008 году. Атака WannaCry отличается от предыдущих лишь тем, что она связана с так называемым state sponsored hacking (государственными хакерами) и хорошо показывает, чем опасно это явление.

Мощный инструментарий, созданный государственными агентствами, может попасть в руки к злоумышленникам. Это как если бы бомбардировщик, пролетая над жилыми кварталами, случайно уронил бомбу. Создатели трояна WannaCry воспользовались эксплойтом, который изначально создали в АНБ для совершенно других целей. Но даже национальные агентства уязвимы — хакеры из Shadow Brokers чуть ли не два месяца назад взломали архив и выложили этот эксплойт в открытый доступ, в айтишной тусовке в последнее время все только об этом и говорили. Причём архив был довольно древний, то есть это даже не самое новое поколение кибероружия.

Сейчас случилось то, что рано или поздно должно было произойти: какие-то хакеры, причём далеко не самые компетентные, на уровне одарённых школьников, создали вирус. Причём уровень реализации оказался дилетантским, и в итоге злоумышленники, возможно, не так уж и много заработали. Может быть, они вообще так развлекались. Страшно подумать, что было бы, если изготовители шифровальщика были бы более компетентными и ставили перед собой более глобальные цели.

Я думаю, в ближайшие десять лет подобное произойдёт ещё много раз. Государства будут терять часть своего киберарсенала, и он будет попадать в руки к третьим людям, и всё это будет выливаться в массовые кибератаки. Разным организациям уже 20 лет говорят о цифровой гигиене и о том, что нужно защищать свои данные. Но многие до сих пор предпочитают «бумажную безопасность»: когда по документам всё защищено, но до настоящей безопасности никому нет дела.

Конечно, есть компании, которые в истории с WannaCry выступили достойно. Например, пишут, что атака на «Ростелеком» оказалась безуспешной. Видимо, команда безопасности среагировала очень быстро, и их компьютеры защищены не только на бумаге. Пока все без исключения компании не начнут принимать меры безопасности и не будут подготовлены к атакам в любой момент, «крупнейшие атаки» будут повторяться снова и снова.


Карта распространения вируса-вымогателя WannaCrypt

Карта распространения вируса-вымогателя WannaCrypt

© Intel

Павел Врублевский
Владелец компании ChronoPay

Никакой идиот не стал бы зарабатывать таким образом. Именно ввиду масштаба заражения и мирового внимания. Используя «червя», вы не можете спрогнозировать, где он окажется.

Люди, которые это спланировали, получили ровно то, что хотели: полное отсутствие следов, послание и заработка. Терроризм в чистом виде.

Единственная сила, которая, на мой взгляд, сейчас сильно выигрывает, — антивирусные компании. Они смогли удачно напомнить о себе.


Реакция Microsoft

«Больно видеть, как компании и индивидуальные пользователи страдают в результате подобных атак» — такой была первая реакция Microsoft на распространение WannaCrypt.

Президент Microsoft Брэд Смит считает, что ответственность за распространение вируса с его компанией должны разделить пользователи и власти: первые не обновляют операционные системы, из-за чего компьютеры борются с новыми вирусами «инструментами прошлого», а вторые собирают данные об уязвимостях ПО, однако не обеспечивают должным образом их безопасность.

«До этого данные об уязвимостях, которые собирало ЦРУ, появлялись на WikiLeaks. В этот раз сведения об уязвимостях, украденные у АНБ, ударили по пользователям во всём мире, — пишет Смит в блоге на сайте Microsoft. — Это то же самое, как если бы у Вооружённых сил США украли несколько ракет "Томагавк"».

Смит отметил, что его компания использует надёжные средства тестирования и аналитики для быстрого обновления ИТ-инфраструктуры, но собирается разработать новые, ещё более совершенные инструменты.

«Пользователи нашего бесплатного антивируса и обновлённой версии Windows защищены, мы также выпустили обновления для Windows XP, Windows 8 и Windows Server 2003», — сообщили «Секрету» в российском офисе Microsoft.

При участии Катерины Березиной, Юлии Дудкиной и Алины Толмачёвой