Вести Экономика ― Group-IB: WannaCry — демо-версия кибервойны

Add to Flipboard Magazine.

Вeрoятнo, чтo вирус WannaCry зaпущeн нe с цeлью пoлучeния зaрaбoткa. Этo дeмo-вeрсия пoслeдствий будущeй мaсштaбнoй кибeрвoйны, пишeт гeнeрaльный дирeктoр Group-IB Илья Сaчкoв в блoгe нa сaйтe кoмпaнии. Кибeрaтaкa пoкaзaлa, нaскoлькo уязвим сoврeмeнный мир пeрeд цифрoвым oружиeм из aрсeнaлa спeцслужб и кибeрaрмий. Тeм бoлee eсли oнo oкaзaлoсь нe в тex рукax.

Прoгрaммы-вымoгaтeли известны давно: еще в конце 80-х гг. вирус AIDS (PC Cyborg), написанный Джозефом Поппом, скрывал каталоги и шифровал файлы, требуя выплатить около $200 за «продление лицензии». Сначала программы-вымогатели были нацелены только на обычных людей, использующих компьютеры под управлением Windows, но сейчас сама угроза стала серьезной проблемой для бизнеса: программ появляется все больше, они становятся дешевле и доступнее.

Самая масштабная международная атака

WannaCry войдет в историю как одна из мощнейших и быстрых кибератак, но первенство принадлежит не криптолокеру.
Вирус ILOVEYOU, также известный как LoveLetter, успешно атаковал миллионы компьютеров под управлением Windows в 2000 году, когда он был разослан в виде вложения в электронное сообщение. Вирус был разослан на почтовые ящики с Филиппин в ночь с 4 мая на 5 мая 2000 года; в теме письма содержалась строка «ILoveYou», а к письму был приложен скрипт «LOVE-LETTER-FOR-YOU.TXT.vbs». В большинстве случаев пользователь открывал вложение.

При открытии вирус рассылал копию самого себя всем контактам в адресной книге Microsoft Outlook. Он также перезаписывал файлы определённых типов и распространялся через IRC-каналы, создавая файл LOVE-LETTER-FOR-YOU.HTM в системном каталоге Windows. В общей сложности, вирус поразил более 3 миллионов компьютеров по всему миру. Предполагаемый ущерб, который червь нанёс мировой экономике, оценивается в размере $10-15 млрд, за что вошёл в Книгу рекордов Гиннесса, как самый разрушительный компьютерный вирус в мире.

Быстрому распространению вируса послужили пользователи, открывавшие файл, тем самым передавали программу дальше, то есть механизм передачи был основан на методах социальной инженерии.
Этим отличается WannaCry — вирус сам сканирует сеть на предмет уязвимых хостов и, используя сетевую уязвимость ОС Windows, устанавливается на компьютеры.

Вымогательство с использованием вредоносных программ — основная киберугроза в 2/3 странах Евросоюза. Один из самых распространенных вирусов-вымогателей — программа CryptoLocker — начиная с сентября 2013 г. заразил более четверти миллиона компьютеров в странах ЕС.

В 2016 г. количество атак шифровальщиков резко увеличилось: по оценкам аналитиков, более чем в сто раз по сравнению с предыдущим годом. Это нарастающий тренд, причем под ударом, как мы увидели, оказались совершенно различные компании и организации, пишет Илья Сачков. Угроза актуальна и для некоммерческих организаций. Так как для каждой крупной атаки вредоносные программы модернизируются и тестируются злоумышленниками на «прохождение» через антивирусную защиту, антивирусы, как правило, против них бессильны.

Мнение эксперта


Илья Сачков
генеральный директор Group-IB

«Моя позиция довольно простая: на цифровое оружие должен быть наложен мораторий, а каждая кибератака должна расследоваться специальной комиссией на уровне ООН. К сожалению, вся история человечества показывает, что военные постоянно живут в ожидании новой войны: наличие внешнего врага позволяет раздувать бюджеты и получать звезды на погоны. Штука в том, что при современном развитии технологий любая война, в том числе и в киберпространстве, для человечества может оказаться последней».

С чисто технической точки зрения Wanna Cryptor – достаточно примитивная вредоносная программа. Заражение, как установили криминалисты Group-IB, происходит не через почтовую рассылку, а весьма необычным образом: WannaCry сам сканирует сеть на предмет уязвимых хостов со скоростью 50 000 000 IP в минуту и, используя сетевую уязвимость ОС Windows, устанавливается на компьютеры. Этим объясняет скорость распространения: вирус работает не по конкретным целям, а «прочесывает» сеть и ищет незащищенные устройства.

WannaCry шифрует файлы, но не все, а наиболее ценные — базы данных, почту, архивы, потом блокирует компьютеры и требует выкуп за восстановление доступа к данным — $300-600 в биткоинах. К тому же, если зараженный компьютер попал в какую-то другую сеть, вредоносная программа распространится и в ней тоже – отсюда и лавинообразный характер заражений.

Международная кибератака:

  • Как спастись от всемирной хакерской атаки?
  • За всемирной кибератакой может стоять КНДР
  • Появились новые версии вируса, но атака идет на спад
  • Сычев: финансовая система РФ отразила атаку вируса
  • Растет спрос на акции разработчиков антивирусов

Инцидент с Wanna Cryptor — это не первый случай, когда утечкой эксплойтов и утилит из арсенала спецслужб активно пользуются киберпреступники. С помощью еще одного из засвеченных Shadow Brokers инструментов АНБ — бэкдора DoublePulsar, предназначенного для внедрения и запуска вредоносных программ, —
злоумышленникам удалось заразить более 47 тыс. компьютеров OC Windows в США, Великобритании, на Тайване. Эти взломанные компьютеры могут использоваться для распространения вредоносных программ, рассылки спама, проведения кибератак, шпионажа и т. д.

Киберпреступникам потребуется совсем немного времени, чтобы модифицировать Wanna Cryptor и снова запустить атаку. Таким образом, сейчас — лишь временная передышка. Кто-то (предположительно, не разработчик оригинальной Wanna Cryptor) уже загрузил в VirusTotal новую версию вируса без функции kill-switch. Единственный надежный способ защититься – установить обновления безопасности и не запускать вредоносного ПО вручную.