Информационная безопасность

Киберэпидемия WannaCry: три года спустя

Avast Security News Team, 28 мая 2020

Вспомним одну из самых разрушительных кибератак в истории, чтобы подобное никогда не повторилось.

В мае 2017 года, три года назад мир захлестнула глобальная атака программы-вымогателя WannaCry.

Пятница 12 мая для наших исследователей начиналась как обычный день. Но около 8 часов утра наши антивирусы заблокировали атаку шифровальщиков у 2000 пользователей. В течение следующего часа еще у 6000 пользователей были зафиксированы аналогичные попытки атак. А через час — еще у 10 тысяч.

Пользователи антивируса Avast были защищены от атак WannaCry, также как и те, кто использовал обновленную версию Windows. Однако по всему миру в тот день пострадало множество людей. К утру субботы программой WannaCry было заражено более 230 000 компьютеров с ОС Windows в 150 странах. Ущерб оценивался в 4 миллиарда долларов США.

Программа WannaCry вызвала массовую панику, сравнимую с кибероружием. И не без оснований — именно в качестве кибероружия она и была разработана. По крайней мере, эксплойт EternalBlue, который использовал шифровальщик имел именно такую природу.

EternalBlue использовал уязвимость в службе SMB операционной системы Windows. Данный эксплойт был разработан Агентством национальной безопасности США и месяцем ранее опубликован в открытом доступе хакерской группировкой ShadowBrokers.

Еще за два месяца до атаки WannaCry компания Microsoft выпустила патч, поэтому пользователи, обновившие ОС (или защищенные антивирусом), были в безопасности. Все остальные — нет.

Метод распространения программы схож с компьютерным червем. Вирус получил столь широкое распространение и потому, что каждый уязвимый компьютер мог заразиться от другого инфицированного устройства в рамках одной локальной сети без каких бы то ни было действий со стороны пользователей. Активированная программа-вымогатель сканирует локальные сети и подсети, случайным образом выбирая IP-адреса для следующей атаки. Обнаружив уязвимый компьютер, вирус распространяется и на него.

Он шифровал файлы и требовал от пользователя заплатить в течение трех дней 300 долларов США в биткоинах, угрожая удалить данные в случае неуплаты. Одни платили, другие — нет, но неизвестно, получил ли кто-нибудь свои файлы обратно. Большая часть экспертов в области кибербезопасности считают WannaCry вайпером — программой, уничтожающей файлы.

«Мы считаем, что с технической точки зрения WannaCry скорее относится к вайперам (стирателям)», — сообщил исследователь компании Avast Якуб Кршоустек, который публиковал хроники распространения WannaCry в блоге.

Мы спросили Якуба, чем атаки программ-вымогателей сегодня отличаются от атак WannaCry три года назад. «В открытом доступе нет нового эксплойта, подобного EternalBlue, — говорит он. — Поэтому с тех пор не было настолько массовой атаки. С другой стороны, отмечен рост целенаправленных атак программ-вымогателей, который начался один-два года назад».

Атаки WannaCry не были целевыми. Программа била шквальным огнем, пытаясь нанести ущерб максимальному количеству пользователей. Сегодня некоторые злоумышленники используют другую стратегию. «Сейчас операторы программ-вымогателей атакуют в основном только выбранные ими компании и организации, от которых они планируют получить максимальный выкуп, — рассказывает Якуб. — Многие из них также начали использовать технику, которую называют доксингом, что мы предсказывали три года назад».

При доксинге злоумышленники не только шифруют личные данные пользователя, но и используют это как инструмент давления, чтобы получить от жертвы выкуп. Они угрожают пострадавшим пользователям, что если те не заплатят, их данные будут либо проданы в даркнете, либо опубликованы на общедоступном сайте, специально созданном, чтобы опозорить жертв шифровальщиков.

Так чего нам ждать от программ-вымогателей? «В ближайшее время мы ожидаем и массированные, и целевые атаки программ-вымогателей, — поделился Якуб. — Что касается способов заражения, мы ожидаем, что основными механизмами доставки программы-вымогателя для атаки на потребителей будут мошеннические электронные письма и зараженные пиратские программы. Если говорить о бизнесе, наиболее широко используемым способом атак по-прежнему будет протокол удаленного рабочего стола (RDP). Кроме того, в ближайшее время мы ожидаем увидеть еще более агрессивные методы доксинга, например, с использованием утечек медицинских данных».

Хотя атак подобного масштаба больше не было, новые программы-вымогатели все еще наносят огромный ущерб каждую неделю. Как и WannaCry, многие вирусы-шифровальщики используют известные уязвимости в надежде, что пользователи не установили обновление.

Естественный способ защиты от них — взять за правило обновлять своевременно устанавливать системные обновления. Также не стоит переходить по подозрительным ссылкам и скачивать файлы от незнакомых отправителей. Не забывайте использовать надежный антивирус и регулярно выполнять резервное копирование файлов. Будьте бдительны и берегите себя!

Следите за нашими новостями в социальных сетях ВКонтактеОдноклассникиFacebook и Twitter