Мощная кибератака обрушилась на многие страны в пятницу вечером. Хакеры парализовали деятельность десятков британских больниц, крупнейшей телекоммуникационной компании Испании Telefonica, немецкого железнодорожного оператора Deutsche Bahn, а также ряда других предприятий по всему миру. В России о проблемах заявил сотовый оператор "МегаФон", МВД, РЖД. Вирус шифрует данные на компьютере, а для разблокировки требуется выкуп от $200 до $600. Кто виноват и что делать? Стоит ли в ближайшее время ждать новой волны атак и есть ли возможность защититься?

Международная вирусная атака на компьютеры, зарегистрированная за последние двое суток во многих странах, привела к сбоям в 104 государствах, сообщили в чешской компании Avast, разрабатывающей программное обеспечение (ПО) в области информационной безопасности. "Мы зафиксировали более 126 тыс. случаев с вирусом WanaCrypt0r 2.0 в 104 странах", - приводит испанское агентство EFE выдержки из заявления компании.

Илья Сачков, один из наиболее известных специалистов в области киберкриминалистики, основатель и генеральный директор компании Group-IB, рассказал изданию "Вести.Экономика", что массовая атака была приостановлена, когда исследователь из Великобритании зарегистрировал домен, к которому вредоносная программа обращалась, начиная свою деятельность. Вредоносная программа запускалась при условии, что домен не зарегистрирован. Сейчас, когда домен зарегистрирован, установленная вредоносная программа обращается к нему и, получив ответ, прекращает любую деятельность.

"Важный момент - организациям, использующим прокси-серверы, этот kill switch не поможет, так как Wanna Cryptor не сможет достичь домена. Что касается информации о появлении новой версии, без kill switch, на данный момент не можем подтвердить данную информацию, хотя технически это возможно. Причем создан он может быть не только руками авторов изначальной вредоносной программы, но практически любым киберпреступником", - пояснили в Group-IB.

По словам директора Европола Роба Уэйнрайта, новая волна заражений может начаться с 15 мая. По данным японской неправительственной организации JPCERT, предоставляющей поддержку в случае возникновения кибератак, новый удар хакеров пришелся на 2 тыс. компьютеров Японии. При этом хакеры не атаковали правительственные учреждения Японии, но с вирусом столкнулись такие крупные компании, как Nissan Motor и Hitachi.

В КНР от атаки хакеров пострадали компьютеры в 30 тыс. университетов и других образовательных учреждениях. Также атака затронула компьютерные системы торговых и офисных центров, сети заправок, больниц, железнодорожных вокзалов, почтовой службы и ряда правительственных учреждений.

Мнение эксперта

"С чисто технической точки зрения Wanna Cryptor – достаточно простое вредоносное ПО. Оно атакует все хосты, доступные в локальной сети, и сканирует интернет, чтобы обнаружить уязвимые хосты и там. Успешное распространение этой вредоносной программы в глобальном масштабе – следствие появления в открытом доступе кибероружия и его использования преступными группировками: Wanna Cryptor использует EternalBlue, предположительно, эксплойт АНБ США, выложенный в утечке ShadowBrokers 14 апреля", – считает генеральный директор Group-IB Илья Сачков.

Кто виноват?

Кто стоит за массированной кибератакой, пока остается загадкой. В СМИ есть сторонники теории, что АНБ таким образом демонстрирует через "хакеров" свои возможности по выведению из строя компьютерных систем по всему миру. "У нас нет информации, которая указывала бы на то, что именно правительственные органы были целью злоумышленников. Рассчитывали ли киберпреступники на то, что вирус распространится настолько массово, – это вопрос. Тут мы уже переходим в плоскость спекуляций, так как личности вымогателей пока неизвестны", - говорят в Group-IB.

Источником первичного вируса недавней кибератаки являются США, заявил на пресс-конференции по итогам визита в Китай президент РФ Владимир Путин. "Для нас существенного никакого ущерба не было, для наших учреждений ни для банковских, ни для системы здравоохранения, ни для других. Но в целом это тревожно, здесь нет ничего хорошего. Это вызывает озабоченность. Что касается источника этих угроз, то, по-моему, руководство Microsoft об этом прямо заявило: сказали о том, что первичным источником этого вируса являются спецслужбы Соединенных Штатов. Россия здесь совершенно ни при чем. Мне странно слышать и в этих условиях что-то другое", — сказал Путин. "Кстати говоря, это самым лучшим образом отражает реалии по этому вопросу и по этой проблеме, которые заключаются в том, что всегда ищут виноватых там, где их нет", — добавил президент.

Президент и главный юрисконсульт Microsoft Брэд Смит высказался резко против сбора данных об уязвимостях операционных систем разведуправлениями и властями различных стран, в первую очередь Агентством национальной безопасности (АНБ) США. В своем блоге он связал распространение вируса-вымогателя WannaCry с кражей данных о таких слабых местах у АНБ.

"Ранее мы уже видели, как данные об уязвимостях, которые собирало ЦРУ, становились известными благодаря WikiLeaks. Сейчас украденные у АНБ данные об уязвимостях создали проблемы для пользователей по всему миру", - заявил Смит.

Если провести параллель с обычным оружием, то эквивалентным сценарием в данном случае стала бы кража ракет "Томагавк" у армии США, считает он. По его словам, власти должны не накапливать данные об уязвимостях, а передавать их разработчикам, чтобы они могли устранять эти уязвимости и повышать безопасность компьютерных сетей. Глобальная кибератака демонстрирует "непреднамеренную, но разрушительную связь между двумя наиболее серьезными формами киберугроз современного мира - действиями государств и организованной преступности", утверждает Смит.

"WannaCry — это вирус-вымогатель, его основной целью является извлечение прибыли. Трудно назвать атаки на больницу в Великобритании позицией демонстрации силы, поэтому возможность политической или информационной атаки кажется сомнительной.", - считает генеральный директор Attack Killer (ГК InfoWatch) Рустэм Хайретдинов.

Что делать?

В случае если ваши файлы оказались зашифрованы, категорически нельзя использовать предлагаемые в сети интернет или полученные в электронных письмах средства расшифровки, предупреждают в "Лаборатории Касперского". Файлы зашифрованы криптостойким алгоритмом и не могут быть расшифрованы, а загруженные утилиты могут нанести еще больший вред как персональному компьютеру, так и компьютерам во всей организации, поскольку потенциально являются вредоносными и нацелены на новую волну эпидемии.

Если вы обнаружили, что ваш компьютер подвергся заражению, следует выключить его и обратиться в отдел информационной безопасности для получения последующих инструкций.

"Лаборатория Касперского" в числе мер для снижения рисков заражения советует установить официальный патч от Microsoft, который закрывает используемую в атаке уязвимость (в частности уже доступны обновления для версий Windows XP b Windows 2003);, убедиться, что включены защитные решения на всех узлах сети; запустить сканирование в антивирусных программах и при нахождении Trojan.Win64.EquationDrug.gen, произвести перезагрузку системы. В дальнейшим для предупреждения подобных инцидентов использовать сервисы информирования об угрозах, чтобы своевременно получать данные о наиболее опасных таргетированных атаках и возможных заражениях.

"Процесс заражения можно попытаться приостановить. Если вы заметили, что ваш компьютер значительно замедляет работу и начинают появляться файлы со странными расширениями, немедленно выключите его. Профессионалы помогут вам восстановить данные.

Даже если у вас появилась табличка с требованием выкупа, мы не рекомендуем платить злоумышленникам: 1) таким образом вы спонсируете преступную деятельность; 2) у нас нет доказательств, что данные тех, кто заплатил, были восстановлены.", - сообщил Илья Сачков, генеральный директор Group-IB.

"Технология распространения вируса не требовала никаких действий от пользователя – ни открытия каких-то файлов, ни чтения почты, ни перехода по ссылкам – только включённый компьютер с уязвимым Windows, подключённым к Интернету. Атака происходила через 445 порт. Вирус WannaCry шифровал файлы на компьютере и пока про возможность расшифровать уже зашифрованные файлы неизвестно. Скорее всего, их можно считать потерянными. Но, по счастью, шифровальшик шифровал файлы немедленно после попадания на компьютер (обычно такие вирусы шифруют данные несколько дней, чтобы зашифрованные файлы попали и в резервные копии). Поэтому восстановление из резервных копий в случае с WannaCry возможно. На мой взгляд, платить вымогателям — провоцировать их на новые преступления. К тому же, никто не гарантирует, что после перевода денег вам придет код расшифровки.", - считает гендиректор Attack Killer (ГК InfoWatch) Рустэм Хайретдинов.

Вирус проникает в периметр корпоративной сети и ищет незащищенные устройства. Есть мнение, что от периметров надо уходить в сторону других систем. " Я много раз говорил, что это тупик – любой периметр ломается и как только ты оказываешься внутри как хакер – делаешь все, что угодно. В случае криптолокера – в теории, можешь все машины сети заразить. Поэтому от периметров надо уходить в сторону умных систем, построенных на тренируемом машинном интеллекте (ТМИ) и совершенно новой архитектуре сети и топологии пользователей...", - написал в Facebook генеральный директор компании Biolink Technologies Евгений Черешнев.

С главой Biolink Technologies не согласны в Group IB. Илья Сачков считает, что периметр сам по себе давно не является неким единственным заслоном, пройдя который, злоумышленник сможет делать все, что хочет. "В любой уважающей себя организации внутри периметра действуют специальные решения, которые отслеживают сеть на предмет аномалий или обращений к внешним серверам, запускают и тестируют подозрительные элементы в безопасной среде. Во-вторых, единственный способ грамотно защищаться, это не уподобляться неким "гомеопатам от ИТ", рассказывающим о неизвестных новых технологиях и добрых киборгах, а вовремя получать знания о современных и релевантных угрозах. Этого можно добиться, используя решения по раннему обнаружению угроз и системы киберразведки. Система киберразведки Group-IB еще в апреле предупреждала клиентов компании об опасности уязвимостей, которые были проэксплуатированы Wanna Cryptor", - считает глава Group IB.

Впрочем, эксперты обеих компаний единогласно заявляют: необходимо проводить с сотрудниками разъяснительные беседы об основах цифровой гигиены – недопустимости устанавливать программы из непроверенных источников, вставлять в компьютер неизвестные флэшки и переходить по сомнительным ссылкам.

"Вирус Wanna Сry идёт на убывание, Microsoft выпустил патч, закрывающий уязвимость, а все антивирусы включили в себя остановку этого вируса, выложен алгоритм лечения. Я не вижу причину, по которой эпидемия подобных вирусов будет развиваться.", - убежден Рустэм Хайретдинов.

Александр Шаляпин