Наймасовіша атака на світ. Хто стоїть за WannaCry
Корреспондент.net,
16 травня 2017, 15:00
💬
0
👁
814
Експерти вважають, що до кібератаки причетні північнокорейське угруповання або ж новачки. Однак ствердних доказів поки що немає.
Організації по всьому світу все ще не оговталися від наймасовішої кібератаки в історії, яка сталася 12 травня, як хакери завдали другого удару в понеділок, 15 травня.
Вірус-здирник WannaCry, який скористався уразливістю в програмному забезпеченні Windows, атакував близько 300 тис. комп'ютерів у 150 країнах.
Фахівці з кібербезпеки перші технологічні докази створення WannaCry відшукали тільки вчора, а жертви вірусу вже сплатили хакерам 70 тис. доларів.
Корреспондент.net розбирався, що відомо про вірус WannaCry, яким був спаразитований увесь світ.
Кібератака та її наслідки
Під ранок 12 травня MalwareHunterTeam, які відстежують нові віруси, написали у своєму Twitter, що мережею за надприродної швидкості шириться новий вірус WanaCrypt0r 2.0, або ж WannaCry.
Вірус почав паралізувати комп'ютери в Іспанії і Португалії, потім розійшовся по всій Європі, Азії та США. WannaCry завірусував комп'ютери в Сінгапурі і Тайвані, а також в Австралії та Латинській Америці.
Більше за всіх постраждала Європа. При цьому Лабораторія Касперського заявила, що серед комп'ютерів, які підпали під атаку, більшість належить росіянам.
Карта поширення WannaCry за 12 травня // intel.malwaretech.com
Хакери скористались виявленою у Windows шпариною, яка спочатку була виявлена Агентством з національної безпеки США.
Про уразливості повідомлялося в конфіденційних документах агентства, які були викрадені в нього, а потім викладені в інтернеті в березні 2017 року.
Тоді ж Microsoft випустила програму, що закриває цю уразливість, але на комп'ютерах, які підпали під атаку, вочевидь, не встановили оновлення.
Вірус поширюється через електронну пошту. Він блокує всі файли і вимагає викуп у розмірі 300 доларів у біткойнах для розблокування даних протягом трьох днів.
Якщо необхідна сума не надійде, то автоматично грошова вимога буде збільшена вдвічі. На сьомий день вірус знищить дані.
Ваші файли були зашифровані. Ваші документи, фотографії, відео, бази даних та інші файли більше недоступні, тому що були зашифровані. Напевно, ви намагаєтеся знайти спосіб повернути ваші файли, але не витрачайте час надаремно. Цього не зможе зробити ніхто, крім нашої шифрувальної служби.
Таке повідомлення спостерігали користувачі завірусованих комп'ютерів. Причому оповіщення прописане 28 різними мовами: у кожній країні - мовою вжитку.
Скриншот екрана завірусованого WannaCry комп'ютера
Хакерам заплатили 70 тис. доларів, однак жодного комп'ютера вони не розблокували.
Кібератаки зазнали як приватні користувачі, так і комп'ютери корпорацій і держпідприємств, у тому числі й лікарні.
В Іспанії кібератакою спаралізувало великі організації, у тому числі телекомунікаційну компанію Telefonica, газову компанію Gas Natural, оператора електромереж Iberdrola і банк Iberica.
У Великій Британії жертвами вірусу стали об'єкти системи охорони здоров'я. У Франції постраждав Renault, у Німеччині - Deutche Bank.
У МВС Росії вірус занапастив близько тисячі комп'ютерів відомства. Також WannaCry не оминув телекомунікаційну компанію Мегафон і Сбербанк РФ.
WannaCry в Україні
У Державній службі зі спеціального зв'язку й захисту інформації України розповіли, що інфікування інформаційних систем державного сектору вірусом WannaCry переважно вдалося уникнути.
Атаки зазнав Нацбанк України. Там кажуть, що будь-які спроби кібератак успішно нейтралізуються. Укртелеком повністю зміг відбити атаку.
ЗМІ повідомляють, що постраждали українські банки з першої десятки, але фінустанови заперечують атаку.
Друга хвиля кібератаки WannaCrypt в Україні не відбулася.
За атаками стоять новачки з Північної Кореї?
Перша версія вірусу з'явилася 10 лютого за назвою WanaCrypt, або Wana Decryptor.
Двадцять п'ятого березня вірус поширювався за допомогою спаму й "замінованих" сайтів, але ніхто не повівся.
Друга версія, відома як WannaCry, практично ідентична першій. У вірусу з'явився модуль, який перетворює шкідливу програму на "хробака", здатного поширюватися самостійно.
Прикметно, що поширення першої хвилі вірусу 12 травня зупинив 22-річний самоук Маркус Гатчинз, який працює в себе вдома, на півночі графства Девон, і спорудив цілу лабораторію з препарування хакерських програм.
Глава КНДР Кім Чен Ин
За його словами, вивчивши WannaCry, він дуже здивувався, наскільки непрофесійно був зліплений цей вірус.
"Він схожий на те, чим я пройнявся як хобі. Я передав інформацію британській владі, американській владі і всім, хто міг би цим зайнятися", - цитує його The Times.
Виявилося, що автори WannaCry забули зареєструвати адресу домену, прописану в коді вірусу.
Ця електронна адреса працює як рубильник, який зупиняє поширення вірусу, чим і скористався Гатчинз, несподівано для себе зумівши спинити поширення вірусу по планеті.
Це наштовхує на думку, що WannaCry - справа рук ненавчених новачків у подібного роду здирництві.
Доказів не так багато, при цьому, як відомо, хакери спеціально залишають помисливі помилки, щоб заплутати слідство.
Позначка із часом створення коду вказує, що він був створений на комп'ютері в дев'яти часових поясах на схід від Гринвіча, що дає підстави вважати, що його автори могли перебувати в східній частині Азії.
WannaCry використовує відразу три акаунти біткойнів, що серйозно ускладнить роботу здирникам, якщо, звісно, ті взагалі збиралися розморожувати захоплені комп'ютери.
Дехто з фахівців з кібербезпеки в понеділок заявили, що відшукали певне технологічне обгрунтування WannaCry, на підставі чого можна запідозрити в причетності до створення й запуску вірусу Північну Корею.
Symantec і Лабораторія Касперського зазначають, що перша версія WannaCry з'являлася в програмах Lazarus Group, яку багато хто вважає північнокорейською хакерською організацією.
При цьому голова дослідницького відділку компанії F-Secure Мікко Гиппонен каже, що аналіз програми-здирника поки не виявив жодного ствердного доказу.