«Никакого политического конфликта — это легкий способ монетизации»
Что известно о хакерской атаке, поразившей больницы Англии, компании Испании, сеть «Мегафона» и, предположительно, МВД.
С чего всё началось
Масштабная атака началась с Великобритании — днём 12 мая вирус под названием WanaCrypt0r 2.0 (также известный как WCry и WannaCry) заразил компьютеры британских больниц и других учреждений здравоохранения. Также появились сообщения о взломе нескольких компаний в Испании: оператора Telefónica, газовой компании Gas Natural, банка Santander и других организаций.
К вечеру 12 мая заражение достигло России, где поразило сети «Мегафона», МВД и, возможно, других организаций.
На момент написания заметки «Лаборатория Касперского» сообщила о 45 тысячах попыток атак в 74 странах. По данным компании, большая часть нападений приходится на Россию.
Что делает вирус
WannaCry блокирует работу Windows-компьютеров и показывает окно с сообщением о том, что все важные файлы на устройстве зашифрованы. Вирус требует выкуп ($300 в биткоинах) и угрожает увеличить требуемую сумму, если в течение трёх суток выкуп не будет внесён. Спустя неделю после заражения WannaCry обещает удалить заблокированные данные.
Компания Group-IB, которая специализируется на информационной безопасности, утверждает, что заражение обычно происходит по электронной почте, причём антивирусные приложения не замечают письма с вирусами. При этом требования о выкупе отображаются на разных языках, в том числе и на русском.
Кто подвергся атаке
WannaCry заразил часть компьютеров «Мегафона», из-за чего компания отключила несколько внутренних сетей, в том числе в точках продаж. По словам директора по связям с общественностью «Мегафона» Петра Лидова, заражение «выглядит, как в Англии, оформление такое же». «Есть проблемы с обслуживанием в точках продаж и есть проблемы в контакт-центрах из-за отключения компьютеров по соображениям безопасности. На работу сети «Мегафона» инцидент не повлиял», — добавил он.
К 21:30 по московскому времени «Мегафон» отчитался о восстановлении работы колл-центра. По словам Лидова, остальная работа по устранению проблем займёт несколько часов.
По данным Group-IB, вирус заразил сеть МВД. В группе «Подслушано у полиции» пользователи делятся сообщениями о проблемах и скриншотами окон-вымогателей, отмечает TJ.
Представители ведомства сказали «Газете.ру», что атак не было, но идут «плановые работы на внутреннем контуре». На сайте МВД вечером 12 мая появилось сообщение о «возможных неудобствах из-за плановых работ».
Источник «Газеты.ру» добавил, что WannaCry также заразил сети СК, но представитель ведомства Светлана Петренко в разговоре с ТАСС опровергла эту информацию. Издание 47news также сообщало о взломе баз данных об автомобилистах МРЭО Санкт-Петербурга и Ленинградской области.
Кроме того, пользователи сообщают о проблемах в сети в сети городских электричек в Германии.
Marco Aguilar @Avas_MarcoТолько приехал во Франкфурт и увидел это. S-bahn, ты подцепил вымогателя!Just got to Frankfurt and took a picture of this… #Sbahn, you got a #Ransomware! https://t.co/w0DODySL0p
Fri May 12 19:03:45 +0000 2017
Источники BBC говорят, что аналогичные атаки происходят по всему миру. На сайте Malwaretech опубликована интерактивная карта кибератак.
Откуда взялся WannaCry
По словам пользователей на форуме «Лаборатории Касперского», впервые WannaCry появился в феврале 2017 года, однако с тех пор он «был обновлён и теперь выглядит иначе» — теперь его труднее удалить.
Издание Motherboard отмечает «невероятную скорость распространения» вируса. По мнению журналистов, он может быть создан на основе одного из инструментов Агентства национальной безопасности США, который тоже мог шифровать данные на компьютере жертвы.
Edward Snowden @SnowdenЭкс-сотрудник АНБ Эдвард Сноуден: «Вау. Решение АНБ создать оружие для взлома американских приложений теперь угрожает жизням пациентов».Whoa: @NSAGov decision to build attack tools targeting US software now threatens the lives of hospital patients. https://t.co/HXRV9uYOuU
Fri May 12 18:31:12 +0000 2017
Были ли атаки целенаправленными
Вероятнее всего, нет. Запущенный на компьютере вирус заражает все остальные Windows-компьютеры, которые находятся в одной локальной, Wi-Fi или другой сети с устройством жертвы. Microsoft исправила уязвимость, которую использует вирус ещё 14 марта 2017 года, указывает Motherboard.
Таким образом, под угрозой оказались те устройства, на которых в последний раз устанавливались обновления системы до середины марта — вне зависимости от того, к чьей сети они принадлежат. Чтобы не попасть под заражение, некоторые компании (например, «Связной»), просят сотрудников не открывать подозрительные вложения в почте.
По мнению главы Group-IB Илья Сачкова, политической подоплёки в атаках нет. «Это легкий способ монетизации, и он часто используется злоумышленники в целях обогащения. Никакого политического и другого внешнего конфликта этот тип атаки не подразумевает», — сказал он.
По данным TechCrunch, к вечеру 12 мая на указанный в окнах-вымогателях кошелёк поступило до $500 в биткоинах. «Медуза» проанализировала несколько связанных с вирусом кошельков и обнаружила, что на них было перечислено более $6 тысяч.
© vc.ru