Сложно игнорировать атаки-вымогатели в наше время. Согласно Отчёту об интернет-преступности ФБР, местные жалобы на такие угрозы увеличились на 20 процентов в 2020 году. В глобальном масштабе атаки выросли на более чем 60% между 2019 и 2020 годами. Не только растёт количество атак, но и они становятся более заметными.
Не позволяйте вымогателю захватить ваше устройство
Убедитесь, что ваше устройство защищено от программ-вымогателей.
Используйте бесплатную пробную версию Malwarebytes Premium на 14 дней.
От нефтепроводов и больниц до школ, банков и благотворительных организаций — кажется, что ни одна организация не защищена от атак-вымогателей. От киберпреступлений страдают не только крупные компании. Малый бизнес тоже становится мишенью и ему сложнее выжить, так как у него обычно меньше ресурсов для восстановления, чем у крупных компаний.
Несмотря на то, что глобальная атака WannaCry произошла в 2017 году, за прошедшие годы появились многие другие виды вымогателей. Давайте рассмотрим WannaCry и почему это было значимым киберинцидентом.
Что представляла собой атака-вымогатель WannaCry?
«Упс, ваши файлы зашифрованы!»
В мае 2017 года вымогатель WannaCry распространился по всему миру через компьютеры на базе Windows. Почти за два месяца до этого Microsoft выпустила патч безопасности для EternalBlue, уязвимости, которую злоумышленники использовали для распространения WannaCry. Однако многие пользователи Windows по всему миру не обновили своё программное обеспечение или использовали устаревшие версии, и поэтому были уязвимы к масштабной атаке.
Злоумышленники WannaCry зашифровали компьютеры с Windows по всему миру и требовали выкуп сначала в размере $300 в биткойнах, а затем $600. Вирус заразил около 230,000 компьютеров в 150 странах всего за несколько часов. После быстрого распространения по всему миру, исследователь безопасности Маркус Хатчинс обнаружил переключатель, который значительно замедлил распространение атаки.
Карта распространения заражения WannaCry
Почему WannaCry стала столь успешной?
Вымогатели, подобные WannaCry, обычно работают путем шифрования файлов или блокировки системы. Затем они требуют плату в виде криптовалюты, такой как биткойн, поскольку такие валюты сложнее отслеживать, чем электронные переводы, чеки или наличные деньги. Однако у WannaCry есть некоторые особенности, которые отличают его от типичных атак-вымогателей, о которых вы читаете сегодня.
Кибербанды обычно используют чистые штаммы вымогателей для целенаправленных атак. Представьте это как лук и стрелы вместо катапульты. Первое лучше для попадания в одну цель за раз, тогда как второе лучше для удара по нескольким целям. Например, вредоносное ПО и преступная группа, стоящая за атакой на Colonial Pipeline, кажется, сосредоточились только на одной цели. Чтобы внедрить вымогателя DarkSide, группа, вероятно, воспользовалась известным паролем для старой учетной записи виртуальной частной сети (VPN).
С другой стороны, WannaCry был скорее катапультой. Он оправдал своё название, заразив сотни тысяч компьютеров в более чем 150 странах всего за несколько часов. Он не оставил никого в живых, быстро поражая все типы систем через бизнес-сети. Так почему же распространение WannaCry было таким обширным и успешным?
1. Компонент червя
Червь — это тип вредоносного ПО, который может удалять файлы, потреблять полосу пропускания и быстро распространяться без необходимости в файле-хосте. Он самораспространяется, а это значит, что в отличие от вируса, ему не нужно человеческое вмешательство для начала своей вредоносной деятельности. Кроме того, черви могут загружать вредоносное ПО, такое как вымогатели. WannaCry охватил компьютеры с Windows подобно лесному пожару благодаря его компоненту червя.
2. Уязвимости
Эксплойт — это уязвимость в системе, которой киберпреступник может воспользоваться для злонамеренной деятельности. Уязвимость, которую использует WannaCry, заключается в том, как Windows управляет протоколом SMB (Server Message Block). В двух словах, протокол SMB позволяет сетевым узлам общаться. Хотя Microsoft устранила уязвимости в 2017 году, угрозакторы продолжают использовать уязвимости SMB и по сей день для троянов и вымогателей, потому что многие пользователи Windows не загружают обновления.
Какие сектора пострадали от WannaCry больше всего?
Атака WannaCry распространилась так быстро и заразила столько компьютеров по всему миру, что многие отрасли оказались под ударом. Среди них:
- Здравоохранение
- Службы спасения
- Security
- Логистика
- Телекоммуникации
- Газовая промышленность
- Нефтяная промышленность
- Автомобильная промышленность
- Образование
- Реклама
Сколько компьютеров заразил WannaCry?
WannaCry заразил около 230,000 компьютеров. Вредоносное ПО повлияло на работу больниц, служб экстренной помощи, автозаправочных станций и даже заводов. Некоторые оценки ставят финансовую нагрузку от атаки на уровне миллиардов долларов.
Кто создал WannaCry?
США официально обвиняют Северную Корею в атаке WannaCry и даже предъявили обвинения трем северокорейцам за вредоносное ПО и взлом Sony Pictures Entertainment в 2014 году. Интересно, что АНБ (Агентство национальной безопасности) также могло сыграть роль в атаке WannaCry, хоть и косвенно.
По слухам, АНБ обнаружило уязвимость SMB, которую эксплуатирует WannaCry. Позже, так называемый инструмент эксплуатации EternalBlue, предположительно, был украден у разведывательной организации и слит группой хакеров The Shadow Brokers (TSB).
WannaCry всё ещё угрожает?
WannaCry в значительной степени перестал представлять угрозу благодаря геройским действиям Маркуса Хатчинса. Британский исследователь компьютерной безопасности разработал переключатель, используя реверс-инжиниринг и ловушки, которые не позволяли WannaCry продолжать выполнение. Кроме того, команда французских исследователей нашла способ дешифровать некоторые пострадавшие компьютеры без выплаты выкупа.
Тем не менее, WannaCry все еще активен. Обязательно обновляйте операционную систему Windows регулярно, чтобы обеспечить установку последних обновлений безопасности. Вы также можете рассчитывать на интеллектуальную антивредоносную технологию Malwarebytes для проактивного обнаружения и удаления Ransom.WannaCrypt.
Что произойдёт, если не заплатить выкуп WannaCry?
WannaCry требует 300 долларов в биткойнах после блокировки системы. Позже сумма выкупа удваивается. Также он угрожает удалить ваши данные в течение трех дней. Мы в Malwarebytes настоятельно рекомендуем не платить вымогателям, отчасти потому, что это поощряет появление новых группировок, стремящихся быстро разбогатеть. Кроме того, нет гарантии, что ваши файлы или компьютер будут разблокированы. Например, не все жертвы WannaCry получили свои файлы обратно после оплаты, возможно, из-за недостатка в самом вредоносном ПО.
Каковы стратегии по предотвращению атак-вымогателей?
Для устройств, которые вы используете дома, используйте антивирусное/антивредоносное программное обеспечение, защищающее от всякого рода вредоносных программ, включая защиту от вымогателей. Для бизнеса стратегии для снижения угрозы вымогателей включают:
- Используйте программное обеспечение кибербезопасности, которое может обнаруживать и блокировать угрозы от вымогателей.
- Регулярно создавайте резервные копии данных и разрывайте связь со своими критичными резервными копиями.
- Сегментируйте вашу сеть.
- Затыкайте дыры, регулярно проверяя наличие обновлений безопасности.
- Остерегайтесь векторов угроз от вымогателей, таких как фишинговые письма.
- Устанавливайте сложные пароли и меняйте их периодически.
- Защищайте систему и важные учетные записи с помощью двухфакторной аутентификации.
Антивирус Malwarebytes для бизнеса против программ-вымогателей
Malwarebytes Endpoint Detection and Response предоставляет не только оповещения, но и возможности реагирования, включая фирменные устранение угроз с помощью Linking Engine и откат изменений после атак программ-вымогателей.
Статьи о WannaCry из лаборатории Malwarebytes
- Microsoft выпускает патч для предотвращения уязвимости уровня ‘WannaCry’
- Файлы о продвинутых постоянных угрозах: группа Лазарь
- Как злоумышленники используют уязвимости SMB
- Вся эта история с EternalPetya заставляет меня WannaCry
- Угроза понедельника для мобильных: фальшивый сканер WannaCry
- Хотите WannaDecrypt свои файлы? Решение WannaCry для некоторых
- Как распространился вирус WannaCry?
- Хотите ещё WannaCry? Специальный выпуск о вымогателях
- Червь, распространяющий WanaCrypt0r