Кибератака мирового масштаба: Как защититься от вируса WannaCry

Кибератака мирового масштаба: Как защититься от вируса WannaCry

15 мая, 13:01 672 Новости Астаны
Кибератака мирового масштаба: Как защититься от вируса WannaCry

Кибератака, произошедшая 12 мая в Испании, распространилась на международном уровне и затронула множество государств.  На сегодняшний день, зафиксировано 45 тыс попыток хакеров атаковать компьютеры по всему миру с помощью вируса-шифровальщика, получившего название WannaCry (Wanna Decryptor). О том, как работает это крупнейшее компьютерное вымогательство и как от него защититься- в обзорном материале BNews.kz.

Программа-вымогатель 12 мая заблокировала десятки тысяч компьютеров по всему миру, в том числе в государственных учреждениях и крупных компаниях. За расшифровку данных группа хакеров, выступающая под псевдонимом Shadow Brokers, требовали заплатить $600 в криптовалюте Bitcoin. 


Жертвами этой атаки стали не менее 200 тыс. физических и юридических лиц в 150 государствах. Больше всего пострадала Россия. 

«Атака достигла беспрецедентных масштабов. Согласно последним данным, речь идет о 200 тыс. жертв в 150 странах, и основная часть этих жертв - компании, в том числе крупные корпорации», - подчеркнул Директор Европола Роб Уэйнрайт.

По его словам, уникальность кибернападения заключается в том, что в вирус-вымогатель добавлена функция самораспространения, поэтому заражение компьютеров по всему миру происходила автоматически. 

Что это за вирус и как это началось

Речь идет о вредоносной программе WannaCry. Ее смысл заключается в краже архивов с последующим требованием выкупа.

По сообщению издательства, изначально атаке хакеров поверглась внутренняя сеть испанской телекоммуникационной компании Telefonica. Нарушители потребовали выкуп от компании в виртуальной валюте биткоин. Всем сотрудникам Telefonica было велено выключить свои компьютеры.

Хакеры направили «послание», в котором говорилось, что выкуп должен поступить до 15 мая. В противном случае цифра будет расти. Если же до 19 мая деньги не поступят, нарушители обещали, удались архивы Telefonica, к которым они получили доступ. Атака парализовала работу значительного числа работников компании, в том числе тех, кто трудится в штаб-квартире в Мадриде.

При этом в Telefonica подчеркнули, что действия хакеров не повлияли на работу крупного оператора связи Movistar, клиенты которого могут продолжать совершать звонки и пользоваться мобильным интернетом.

«Как показал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010. Затем на зараженную систему устанавливался руткит, используя который злоумышленники запускали программу-шифровальщик», - сказали в «Лаборатории Касперского».

Компания, которая занимается предотвращением и расследованием киберпреступлений, Group-IB определила четыре особенности вируса.

Первая заключается в том, что программа «использует эксплоит ETERNALBLUE, который был выложен в открытый доступ хакерами Shadow Brokers». Эта уязвимость была закрыта для ОС Windows Vista и старше в обновлении от 9 марта, а патча для старых ОС (в том числе Windows XP и Windows server 2003) не будет, так как они выведены из-под поддержки.

Второй особенностью WannaCry является способность не только шифровать файлы, но и сканировать сеть на предмет уязвимости.

«Если зараженный компьютер попал в какую-то другую сеть, вредоносное ПО распространится и в ней тоже - отсюда и лавинообразный характер заражений», - объяснили в компании.

Еще одной особенностью вируса является его избирательность - он шифрует не все файлы, а только наиболее «чувствительные» (документы, базы данных, почту).

Четвертая особенность WannaCry заключается в том, что для подключения к командным серверам программа устанавливает браузер Tor (обеспечивает анонимность в интернете) и осуществляет соединение через него.

Больницы под ударом

От вирусной атаки пострадали не менее 40 организаций Национальной системы здравоохранения (NHS) Великобритании, включая больницы, поликлиники и фонды здравоохранения, что привело к отмене в этих медучреждениях приема амбулаторных больных, нарушениям в работе службы скорой помощи и, как утверждают СМИ, даже сбою в проведении запланированных хирургических операций.

«Мы осведомлены о том, что многие организации Национальной системы здравоохранения сообщили о том, что они пострадали от атаки вируса-вымогателя. Но ее целью не была NHS, это международная атака, от которой пострадали многие страны и организации», - подчеркнула премьер-министр Великобритании Тереза Мэй, находящаяся с предвыборной поездкой на северо-востоке Англии.

«У меня нет никаких свидетельств того, что сохранность базы данных пациентов оказалась под угрозой», - добавила Мэй.

Рожденный в АНБ

Организовавшие кибератаки по всему миру хакеры воспользовались шпионским программным обеспечением, которое якобы применяло Агентство национальной безопасности США (АНБ). Об этом сообщила американская газета Politico, пишет ТАСС.

По ее данным, злоумышленники, требующие выкуп за восстановление работы компьютеров, использовали шпионское ПО, которое ранее распространила группа хакеров, выступающая под псевдонимом Shadow Brokers. Они утверждали, что получили доступ к программам, разработанным АНБ.

В свою очередь бывший сотрудник американских спецслужб Эдвард Сноуден написал в Twitter, что «решение АНБ создать инструменты для атаки на американское программное обеспечение сейчас угрожает жизни пациентов в больницах».

«Несмотря на предупреждения, АНБ создало опасные инструменты для проведения атак, которые могут поражать западное программное обеспечение, сегодня мы видим, чего это стоило», - добавил он.

«В свете сегодняшней атаки Конгресс должен спросить у АНБ, известно ли ему о других уязвимостях в программном обеспечении, которое используется в наших больницах», - считает Сноуден.

АНБ пока никак не прокомментировало эти утверждения, в то время как министерство внутренней безопасности США заявило, что осведомлено о ситуации с вирусом WannaCry и работает над предотвращением его последствий на гражданские и государственные сети.

«Заработок» вымогателей

На данный момент зафиксировано 110 случаев выплат средств, общая сумма которых составляет 23.5 биткоина (более $42 тыс.). По информации издания, в настоящее время органы правопорядка установили наблюдение за тремя виртуальными счетами, на которые вымогатели требовали перечислять выкуп.

Отмечается, что злоумышленники, вероятно, осведомлены, что операции с полученными средствами могут отслеживаться, в связи с чем, они до сих пор не предприняли попытку снять их.

Британский программист

Специалист по информационной безопасности заметил в коде вируса очень длинное доменное имя и решил его зарегистрировать. Вирус стал тут же обращаться к этому домену и прекратил атаки.

Правда, решение это было временное.

Во-первых, инфицированным компьютерам уже не помочь, во-вторых, вирус все равно способен найти возможность распространяться дальше. Зато у пользователей появилось время закрыть патчами дыры в системе.

Как защититься

Как отметили в Group-IB, хакеры используют программы-шифровальщики для атак все чаще.

«В 2016 году количество таких атак увеличилось более чем в сто раз по сравнению с предыдущим годом», - сообщили в компании.

Чаще всего заражение подобными вирусами происходит через электронную почту.

«Пользователь сам скачивает и открывает вредоносный файл, умело представленный злоумышленниками, как письмо от контакта, которому он доверяет (так называемая социальная инженерия). Либо это действительно может быть ящик его знакомого или партнера, заранее скомпрометированный преступниками», - отметили в Group-IB.

Защититься от подобных атак можно, используя решения класса «песочница»: такие решения устанавливаются в сеть организации для проверки всех файлов, приходящих на почту сотрудникам или скачиваемых ими из интернета, сообщает ТАСС.

«Также важно проводить с сотрудниками разъяснительные беседы об основах цифровой гигиены - недопустимости устанавливать программы из непроверенных источников, вставлять в компьютер неизвестные флэшки и переходить по сомнительным ссылкам, вовремя обновлять ПО и не использовать ОС, которые не поддерживаются производителем», - отметили в компании.

Чтобы снизить риски заражения вирусом, в «Лаборатории Касперского» рекомендуют установить официальный патч от Microsoft, который закрывает используемую в атаке уязвимость и убедиться, что включены защитные решения на всех узлах сети.

В компании также рекомендуют использовать сервисы информирования об угрозах, чтобы своевременно получать данные о наиболее опасных атаках и возможных заражениях.

Подозрение в причастности Вьетнама

Хакеры, вероятно работающие на правительство Вьетнама, атаковали компьютеры многонациональных компаний, осуществляющих свою деятельность на территории страны, пишет ria.ru.

Как сообщил старший менеджер компании Ник Карр, среди жертв хакеров были немецкие, британские и китайские компании. Он добавил, что та же группа хакеров, а именно APT32, за которой компания следит с 2014 года, стоит за атакой на компьютеры вьетнамских журналистов, блогеров, активистов и оппозиционеров. Карр отметил, что пока не удалось определить местонахождение хакеров или подтвердить их связь с правительством, однако искомая информация не представляет ценности для других лиц.

Правительство, в свою очередь, опровергло обвинения.

«Правительство Вьетнама не позволяет какие бы то ни было кибератаки против организаций или лиц. Все кибератаки или угроза кибербезопасности должны быть осуждены и сурово наказаны в соответствии с законом», — сообщила представитель министерства иностранных дел Ле Тхи Тху Ханг (Le Thi Thu Hang).

Отмечается, что эти атаки не связаны с вирусом WannaCry.

Новости партнеров

Loading...