WannaCry

Сложно игнорировать атаки-вымогатели в наше время. Согласно Отчёту об интернет-преступности ФБР, местные жалобы на такие угрозы увеличились на 20 процентов в 2020 году. В глобальном масштабе атаки выросли на более чем 60% между 2019 и 2020 годами. Не только растёт количество атак, но и они становятся более заметными.

От нефтепроводов и больниц до школ, банков и благотворительных организаций — кажется, что ни одна организация не защищена от атак-вымогателей. От киберпреступлений страдают не только крупные компании. Малый бизнес тоже становится мишенью и ему сложнее выжить, так как у него обычно меньше ресурсов для восстановления, чем у крупных компаний.

Несмотря на то, что глобальная атака WannaCry произошла в 2017 году, за прошедшие годы появились многие другие виды вымогателей. Давайте рассмотрим WannaCry и почему это было значимым киберинцидентом. 

Что представляла собой атака-вымогатель WannaCry? 

«Упс, ваши файлы зашифрованы!»

В мае 2017 года вымогатель WannaCry распространился по всему миру через компьютеры на базе Windows. Почти за два месяца до этого Microsoft выпустила патч безопасности для EternalBlue, уязвимости, которую злоумышленники использовали для распространения WannaCry. Однако многие пользователи Windows по всему миру не обновили своё программное обеспечение или использовали устаревшие версии, и поэтому были уязвимы к масштабной атаке. 

Злоумышленники из WannaCry зашифровали компьютеры с операционной системой Windows по всему миру и потребовали выкуп в размере сначала 300 долларов в биткойнах, а затем 600 долларов. Всего за несколько часов было заражено около 230 000 компьютеров в 150 странах. После первоначального стремительного распространения по всему миру исследователь безопасности Маркус Хатчинс обнаружил переключатель, который значительно замедлил распространение атаки. 

Карта распространения заражения WannaCry

Почему WannaCry стала столь успешной?

Программы-вымогатели, подобные WannaCry, обычно шифруют ваши файлы или блокируют систему. Затем она требует оплаты в форме криптовалюты, например биткойна, поскольку такие валюты сложнее отследить, чем электронные денежные переводы, чеки или холодные наличные. Однако у WannaCry есть некоторые особенности, которые отличают ее от типичных атак вымогателей, о которых вы читаете сегодня.

Киберганы обычно используют чистые штаммы ransomware для целенаправленных атак. Подумайте об этом, как о луке и стрелах вместо катапульты. Первый вариант лучше подходит для поражения одной цели за раз, а второй - для поражения нескольких целей. Например, вредоносное ПО и преступная группировка, стоявшие за атакой с выкупом Colonial Pipeline, похоже, были нацелены только на одну цель. Чтобы установить DarkSide ransomware, банда, очевидно, воспользовалась известным паролем для старой учетной записи виртуальной частной сети (VPN).

С другой стороны, WannaCry был скорее катапультой. Он оправдал своё название, заразив сотни тысяч компьютеров в более чем 150 странах всего за несколько часов. Он не оставил никого в живых, быстро поражая все типы систем через бизнес-сети. Так почему же распространение WannaCry было таким обширным и успешным?

1. Компонент червя

Червь - это тип вредоносного ПО, которое может удалять файлы, потреблять пропускную способность и быстро распространяться, не нуждаясь в файле-хосте. Он самораспространяется, то есть, в отличие от вируса, не нуждается в активации человеком для начала своей вредоносной деятельности. Кроме того, черви могут распространять вредоносные программы типа ransomware. Вирус WannaCry распространился по компьютерам с операционной системой Windows благодаря своему компоненту - червю.

2. Уязвимости

Эксплойт - это непропатченная уязвимость системы, которую киберпреступник может использовать для вредоносных действий. Уязвимость, которую использует WannaCry, заключается в том, как Windows управляет протоколом SMB (Server Message Block). В двух словах, протокол SMB позволяет сетевым узлам обмениваться данными. Хотя Microsoft исправила уязвимость в 2017 году, угрозы используют SMB-уязвимость и сегодня для троянских и вымогательских атак, поскольку многие пользователи Windows не загружают обновления.  

Какие сектора пострадали от WannaCry больше всего?

Атака WannaCry распространилась так быстро и заразила столько компьютеров по всему миру, что многие отрасли оказались под ударом. Среди них: 

• Здравоохранение
• Службы спасения
• Безопасность
• Логистика
• Телекоммуникации
• Газовая промышленность
• Нефтяная промышленность
• Автомобильная промышленность
• Образование
• Реклама

Сколько компьютеров заразил WannaCry?

WannaCry заразил около 230,000 компьютеров. Вредоносное ПО повлияло на работу больниц, служб экстренной помощи, автозаправочных станций и даже заводов. Некоторые оценки ставят финансовую нагрузку от атаки на уровне миллиардов долларов.

Кто создал WannaCry?

США официально обвиняют Северную Корею в атаке WannaCry и даже предъявили обвинения трем северокорейцам за вредоносное ПО и взлом Sony Pictures Entertainment в 2014 году. Интересно, что АНБ (Агентство национальной безопасности) также могло сыграть роль в атаке WannaCry, хоть и косвенно.

Утверждается, что АНБ обнаружило SMB-уязвимость, которую использует WannaCry. Позже этот так называемый инструмент эксплуатации EternalBlue был якобы украден у разведывательной организации и утечен The Shadow Brokers (TSB), хакерской группой. hacker группа.

WannaCry всё ещё угрожает?

WannaCry в значительной степени перестал представлять угрозу благодаря геройским действиям Маркуса Хатчинса. Британский исследователь компьютерной безопасности разработал переключатель, используя реверс-инжиниринг и ловушки, которые не позволяли WannaCry продолжать выполнение. Кроме того, команда французских исследователей нашла способ дешифровать некоторые пострадавшие компьютеры без выплаты выкупа.

Тем не менее, WannaCry все еще активен. Обязательно обновляйте операционную систему Windows регулярно, чтобы обеспечить установку последних обновлений безопасности. Вы также можете рассчитывать на интеллектуальную антивредоносную технологию Malwarebytes для проактивного обнаружения и удаления Ransom.WannaCrypt.  

Что произойдёт, если не заплатить выкуп WannaCry?

WannaCry требует 300 долларов в биткойнах после блокировки системы. Позже сумма выкупа удваивается. Также он угрожает удалить ваши данные в течение трех дней. Мы в Malwarebytes настоятельно рекомендуем не платить вымогателям, отчасти потому, что это поощряет появление новых группировок, стремящихся быстро разбогатеть. Кроме того, нет гарантии, что ваши файлы или компьютер будут разблокированы. Например, не все жертвы WannaCry получили свои файлы обратно после оплаты, возможно, из-за недостатка в самом вредоносном ПО.  

Каковы стратегии по предотвращению атак-вымогателей?

Для устройств, которые вы используете дома, используйте антивирусное/антивредоносное программное обеспечение, защищающее от всякого рода вредоносных программ, включая защиту от вымогателей. Для бизнеса стратегии для снижения угрозы вымогателей включают: 

1. Используйте программное обеспечение кибербезопасности, которое может обнаруживать и блокировать угрозы от вымогателей. 
2. Регулярно создавайте резервные копии данных и разрывайте связь со своими критичными резервными копиями.
3. Сегментируйте вашу сеть.
4. Затыкайте дыры, регулярно проверяя наличие обновлений безопасности.
5. Остерегайтесь векторов угроз от вымогателей, таких как фишинговые письма.
6. Устанавливайте сложные пароли и меняйте их периодически.
7. Защитите свою систему и важные учетные записи с помощью двухфакторной аутентификации.

Статьи о WannaCry из лаборатории Malwarebytes

• Microsoft выпускает патч для предотвращения уязвимости уровня ‘WannaCry’
• Файлы о продвинутых постоянных угрозах: группа Лазарь
• Как злоумышленники используют уязвимости SMB
• Вся эта история с EternalPetya заставляет меня WannaCry
• Угроза понедельника для мобильных: фальшивый сканер WannaCry
• Хотите WannaDecrypt свои файлы? Решение WannaCry для некоторых
• Как распространился вирус WannaCry?
• Хотите ещё WannaCry? Специальный выпуск о вымогателях
• Червь, распространяющий WanaCrypt0r