Эхо кибервойны

Это было похоже на глобальную эпидемию: всего за три дня вирус-шифровальщик WannaCry атаковал 200 000 компьютеров в 150 странах мира. Вирус прошелся по сетям университетов в Китае, заводов Renault во Франции и Nissan в Японии, телекоммуникационной компании Telefonica в Испании и железнодорожного оператора Deutsche Bahn в Германии. Из-за заблокированных компьютеров в клиниках Великобритании пришлось отложить операции, а региональные подразделения МВД России — не смогли выдавать водительские права.

Те, кто запустил WannaCry, за эти дни заработали всего $43 000. Сумма для киберпреступников смешная. Для сравнения: один из взломщиков, чью деятельность расследовала Group-IB, на кражах из интернет-банкинга зарабатывал $20 млн в месяц.

Нет, хотя APT-инструменты явно были задействованы.

С чисто технической точки зрения Wanna Cryptor – достаточно примитивная вредоносная программа. А вот заражение, как установили криминалисты Group-IB, происходит не через почтовую рассылку, а весьма необычным для шифровальщиков образом: WannaCry сам сканирует сеть на предмет уязвимых хостов и, используя сетевую уязвимость ОС Windows, устанавливается на компьютеры. Этим объясняет скорость распространения: вирус работает не по конкретным целям, а «прочесывает» сеть и ищет незащищенные устройства.

WannaCry шифрует файлы, но не все, а наиболее ценные — базы данных, почту, архивы, потом блокирует компьютеры и требует выкуп за восстановление доступа к данным — $300-600 в биткоинах. К тому же, если зараженный компьютер подключен к локальной сети, вредоносная программа распространится и в ней тоже – отсюда и лавинообразный характер заражений.

Причина столь масштабного бедствия в том, что злоумышленники использовали шифровальщик в связке с кибероружием — EternalBlue, эксплойтом Агентства национальной безопасности (АНБ) США, который 14 апреля выложили в открытый доступ хакеры из группы Shadow Brokers.

Инцидент с Wanna Cryptor — это не первый случай, когда утечкой эксплойтов и утилит из арсенала спецслужб активно пользуются киберпреступники. С помощью еще одного из засвеченных Shadow Brokers инструментов АНБ — бэкдора DoublePulsar, предназначенного для внедрения и запуска вредоносных программ, злоумышленникам удалось заразить более 47 000 компьютеров OC Windows в США, Великобритании, на Тайване. Эти взломанные компьютеры могут использоваться для распространения вредоносных программ, рассылки спама, проведения кибератак и шпионажа т.д.

Хотя с тактической точки зрения эта атака достаточно продвинутая, в целом в ней нет ничего нового. Mirai, ботнет IoT, стоящий за исторически значимой DDoS-атакой на блог KrebsOnSecurity в сентябре 2016 года, был создан с использованием схожих подходов к распространению и сокрытию вируса.

Несколько других особенностей Wanna Cryptor:

• Саморепликация: вирус распространяется на другие компьютеры как компьютерный червь. Сканирует весь диапазон IPv4 адресов, исключая зарезервированные адреса, и пытается проэксплуатировать уязвимость.
• Целевое шифрование: вредоносное ПО выбирает для шифрования наиболее чувствительные документы - электронную почту, ключи шифрования и сертификаты, файлы исходных кодов, архивы, файлы MS Office, виртуальные машины, базы данных.
• Защита от исследования: он устанавливает TOR для связи с командными серверами (C&C).

Программы-вымогатели известны давно: еще в конце 80-х вирус AIDS («PC Cyborg»), написанный Джозефом Поппом, скрывал каталоги и шифровал файлы, требуя выплатить около $200 за «продление лицензии». Сначала программы-вымогатели были нацелены только на обычных людей, использующих компьютеры под управлением Windows, но сейчас сама угроза стала серьезной проблемой для бизнеса: программ появляется все больше, они становятся дешевле и доступнее. Вымогательство с использованием вредоносных программ — основная киберугроза в 2\3 странах Евросоюза. Один из самых распространенных вирусов-вымогателей программа CryptoLocker — начиная с сентября 2013 года заразил более четверти миллиона компьютеров в странах ЕС.

В 2016 году количество атак шифровальщиков резко увеличилось – по оценкам аналитиков, более, чем в сто раз по сравнению с предыдущим годом. Это – нарастающий тренд, причем под ударом, как мы увидели, оказались совершенно различные компании и организации. Угроза актуальна и для некоммерческих организаций. Так как для каждой крупной атаки вредоносные программы модернизируются и тестируются злоумышленниками на «прохождение» через антивирусную защиту, антивирусы, как правило, против них бессильны.

Только если они запустят вирус вручную или имеют доступ к Интернету через локальную сеть провайдера. Настроенные по умолчанию домашние маршрутизаторы, не позволяют 445-порту, который вредоносные программы используют для самораспространения, быть доступным «снаружи».

Да, только если не станете запускать вредоносный файл вручную. В этом случае файлы на компьютере будут зашифрованы, даже если патч уже установлен.

Microsoft выпустила специальную серию обновлений безопасности для Win Server 2003 и Win XP. Установите их как можно скорее, иначе у вас могут возникнуть неприятности.

Ни Group-IB, ни кто-либо другой не может подтвердить или опровергнуть российское происхождение нападавших без тщательного расследования. Мы не нашли среди целевых файлов расширений файлов «1С», на которые обычно нацелены шифровальщики, созданные в России. Но без дальнейшего исследования однозначный вывод сделать невозможно.

У нас нет информации, которая указывала бы на то, что именно правительственные органы были бы основной целью злоумышленников. Вредоносная программа сканирует и может заразить ЛЮБЫЕ хосты, вне зависимости от их принадлежности. Один из самых логичных ответов — жертвы просто не успели установить обновления.

За разблокировку компьютеров преступники требовали сравнительно небольшой выкуп — от 300 до 600$, и заработали всего $42 000. Мы знаем об этом доподлинно, ведь биткоин-кошельки устроены таким образом, что их содержимое (но не принадлежность) видно любому. Выходит, что при 200 000 заражений деньги заплатило всего 100-150 человек. Это говорит о важном переломе в восприятии шифровальщиков как угрозы: люди больше не готовы платить вымогателям за расшифровку. Возможно, данная атака, с учетом ее известности, станет одновременно и кульминацией, и концом эпохи шифровальщиков.

Мы не рекомендуем платить выкуп, так как:

• таким образом вы помогаете преступникам;
• у нас нет доказательств, что данные тех, кто заплатил, были восстановлены.

Массовая атака была временно остановлена, когда исследователь из Великобритании зарегистрировал домен, к которому вредоносная программа обращалась, начиная свою деятельность. Вредоносная программа запускалась при условии, что домен не зарегистрирован. Сейчас, когда домен зарегистрирован, установленная вредоносная программа обращается к нему и, получив ответ, прекращает любую деятельность.

Однако организациям, использующим прокси-серверы, этот «kill switch» не поможет, так как Wanna Cryptor не сможет достичь домена.

Единственный надёжный способ защититься – установить обновления безопасности и не запускать вредоносную программу вручную.

Можем только догадываться. Наше мнение - это «выключатель» для авторов программы на случай, если ситуация выйдет из-под контроля.

Киберпреступникам потребуется совсем немного времени, чтобы модифицировать Wanna Cryptor и снова запустить атаку. Таким образом, сейчас - лишь временная передышка. Кто-то (предположительно не разработчик оригинальной Wanna Cryptor) уже загрузил в VirusTotal новую версию вируса без функции kill-switch.

Единственный надежный способ защититься – установить обновления безопасности и не запускать вредоносного ПО вручную.

Если вы заметили, что ваш компьютер «тормозит», появляются файлы со странными расширениями, немедленно выключите его. Таким образом вы предотвратите дальнейшее шифрование файлов. Кстати, система киберразведки Group-IB Threat Intelligence заранее информировала клиентов об уязвимости, используемой Wanna Cryptor.