Атака на мировую сеть вируса-вымогателя WannaCry стала главной мировой новостью субботы, 13мая. Распространяясь со скоростью лесного пожара, вредоносная программа вывела из строя десятки тысяч компьютеров, заставила СМИ вспомнить и о русских хакерах, и о кибероружии американских спецслужб; поставила под угрозу жизни пациентов десятков больниц и благополучие тысяч пассажиров в нескольких странах.
Деактивировать вирус удалось менее чем за сутки, притом практически случайно.
Жертвы и защитники
Первыми под удар нового вируса попали сети компьютерной компании Telefonica. WannaCry пробил защиту и вывел из строя часть сети. Оставшиеся незараженными машины сотрудники компании отключили.
Вслед за этим вирус атаковал компьютеры медицинских сетей в Испании, Португалии и Великобритании. Программа заблокировала работу компьютеров части больниц Лондона, Ноттингема и Блэкберна. Ситуация сложилась настолько пугающая, что часть подвергшихся кибератаке больниц заявили, что будут принимать только экстренных пациентов.
Далее в СМИ появилась информация, что вирус «положил» служебные сети МВД и Следственного комитета России (СКР). В СКР сначала отказались комментировать эти сообщения, а позже представитель ведомства Светлана Петренко заявила, что компьютеры СК не пострадали.
Представители МВД сначала опровергли сведения об атаке, объяснив отсутствие работы сайта «работами на внутреннем контуре» служебной сети. Тем не менее, днем в субботу стало известно, что из-за вируса приостановлена выдача водительских удостоверений в нескольких регионах. Официальный представитель полицейского ведомства Ирина Волк заявила журналистам, что вредоносная программа парализовала около тысячи компьютеров, однако сетевой инфраструктуре ведомства не было вреда нанесено «благодаря использованию иных операционных систем и отечественных серверов с российским процессором «Эльбрус».
Параллельно WannaCry вывел из строя компьютерные системы управления железнодорожным транспортом в России и Германии. В РЖД при этом заявили, что вредоносная программа была оперативно локализована и не привела к большому ущербу.
Оценивая эффективность и скорость распространения вируса, специалисты, отмечали, что по результатам первых восьми часов «эпидемии» WannaCry показал рекордные результаты.
Неожиданный успех
Во второй половине дня стало известно, что специалистам по кибербезопасности удалось приостановить распространение программы. Успеха добился программист Дариен Хусс из компании Proofpoint. По его словам, удача оказалась почти случайностью.
Изучая код вируса, Хусс обратил внимание на странное доменное имя – iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Проверка показала, что домен не зарегистрирован. Потратив 11 долларов, программист стал владельцем домена, после чего на адрес стали ежесекундно поступать тысячи запросов от копий вируса. Одновременно с этим WannaCry перестал распространяться.
«Я не знал, что регистрация домена остановит вредоносное ПО», – написал Хусс в «Твиттере».
Эксперты предположили, что хакеры, создавшие вирус, зашили в его тело адрес незарегистрированного домена, чтобы иметь возможность им управлять и корректировать его по мере надобности.
Кибервымогатель
WannaCry оказался довольно типичным вирусом-вымогателем: при заражении компьютера он блокирует экран, после чего шифрует данные на жестком диске. За расшифровку информации создатели программы требуют от 200 до 600 долларов в биткоинах. Если хозяин зараженного компьютера откажется платить, в течение двух дней сумма выкупа возрастает, а через неделю WannaCry обещает удалить зашифрованные файлы.
Необычным оказалось другое: для проникновения WannaCry использовал сетевую уязвимость Microsoft Security Bulletin MS17-010, которая мало известна хакерам и редко используется для нападений.
Рассказывая о распространении вируса, британские СМИ вспомнили о русских киберпреступниках. Однако гораздо более достоверным выглядит предположение, что вирус создан на основе кибероружия, разработанного Агентством национальной безопасности (АНБ) США. Этой точки зрения, в частности, придерживается бывший сотрудник разведывательной структуры Эдвард Сноуден.
«Решение АНБ создать инструменты для атаки американского программного обеспечения теперь угрожает жизням пациентов в больницах, – заявил бывший разведчик. – Несмотря на предупреждения, АНБ разработала такие инструменты. Сегодня мы видим, чего это стоит».
Неизбежная неожиданность
То, что американское кибероружие рано или поздно попадет в руки преступников, обсуждалось уже давно. Реальные контуры угроза стала приобретать в августе прошлого года, когда неизвестная ранее хакерская группа опубликовала в открытом доступе часть архива АНБ, где содержалось описание множества инструментов взлома и уязвимостей операционных систем. Вторую часть архива, предположительно содержащую наиболее действенные инструменты кибершпионажа, злоумышленники выставили на аукцион.
В марте нынешнего года сайт WikiLeaks опубликовал большой пакет документов другой американской разведывательной службы – ЦРУ. Сведения были извлечены из архива, который назывался «Сейф №7». Среди множества малозначительных документов были обнаружены описания множества программ, предназначенных для сбора информации через так называемые «умные предметы»: часы, автомашины, холодильники. Некоторые технологии, упоминавшиеся в архиве, потенциально дают возможность дистанционно влиять на управление автомобилем. Возможно, РУ отрабатывали эту технологию с целью получить средство совершения убийств, которые выглядели бы как случайные аварии, предполагают некоторые комментаторы.
Просачивание в хакерскую среду кибернаработок спецслужб неизбежно должно было привести к появлению новых вредоносных программ и «червей», нацеленных не на многолетний тихий сбор конфиденциальных сведений, а на банальный грабеж и кражи. Возможно, WannaCry, ураганивший в сети последние сутки – лишь первая ласточка нового поколения вредоносного ПО.
