Group-IB: WannaCry — версии кибервойны
Add to Flipboard Magazine.
Вeрoятнo, чтo вирус WannaCry зaпущeн нe с цeлью пoлучeния прибыли. Этo дeмo-вeрсия пoслeдствия в будущeм мaсштaбe кибeрвoйны, пишeт гeнeрaльный дирeктoр Group-IB, Илья Сaчкoв в блoгe нa сaйтe кoмпaнии. Кибeрaтaкa пoкaзaл стeпeнь рискa сoврeмeннoгo мирa пeрeд цифрoвoй, oружиe из aрсeнaлa спeцслужб и кибeрaрмий. Тeм бoлee, eсли oнa нe былa в рукax.
Программы-вымогатели известны давно: в конце 80-х, вирус СПИДА (PC Cyborg), автор Джозеф Попп, скрывал каталоги и шифровал файлы, требуя заплатить около $200 за «продление лицензии». Во-первых, программы-вымогатели были нацелены только люди, которые используют компьютеры под управлением Windows, но теперь угроза стала серьезной проблемой для бизнеса: программы появляется все больше и больше, они становятся дешевле и доступнее.
Самый большой международный атаки
WannaCry войдет в историю как один из самых мощных и быстрых атак, но приоритет принадлежит не криптолокеру.
Вирус ILOVEYOU, также известный как LoveLetter, атаковал успешно миллионов компьютеров, работающих под Windows 2000, когда он был разослан в виде вложения в сообщение электронной почты. Вирус был разослан на почтовые ящики с Филиппин в ночь с 4 мая на 5 мая 2000 года; в теме письма содержится строка «ILoveYou», а к письму был приложен скрипт «LOVE-LETTER-FOR-YOU.TXT.vbs». В большинстве случаев, пользователь открыл вложение.
При открытии вирус послал копию самого себя всем контактам в адресной книге Microsoft Outlook. Он заменяет некоторые типы файлов и распространяется на IRC-каналах, создавая файл LOVE-LETTER-FOR-YOU.HTM в системном каталоге Windows. В общей сложности, вирус поразил более 3 миллионов компьютеров по всему миру. Предполагаемый ущерб, что червь нанес мировой экономике, оценивается примерно в $10-15 млрд, за что вошел в Книгу рекордов Гиннесса, как самый разрушительный компьютерный вирус в мире.
Быстрое распространение вируса служили пользователи, открывавшие файл, а также передаются программе дальше, это передачи механизма была основана на использовании методов социальной инженерии.
Это отличается от WannaCry — вирус сканирует сеть на предмет уязвимых хостов и, с использованием сети уязвимости ос Windows, установленной на компьютерах.
Вымогательство с помощью вредоносных программ главная киберугроза в 2/3 стран Европейского союза. Одним из самых распространенных вирусов-вымогателей — программа CryptoLocker — с сентября 2013 года, заразил более четверти миллиона компьютеров в странах ЕС.
В 2016 году количество атак шифровальщиков резко возросли: по оценкам аналитиков, более чем в сто раз по сравнению с предыдущим годом. Это волна тренда, и кроме того, под ударом, как мы видели, были совершенно разные компании и организации, — пишет Илья Сачков. Угроза актуальна и для некоммерческих организаций. Как и для всех крупных атак вредоносных программ в процессе модернизации и испытаны хакеров на «проход» через антивирусная защита, антивирусы, как правило, против них бессильны.
Мнение эксперта
Илья Сачков
генеральный директор Group-IB
«Моя позиция довольно проста: цифровое оружие должно быть введен мораторий, и каждая кибератака должна расследовать специальная комиссия на уровне ООН. К сожалению, вся история человечества показывает, что военные постоянно живут в ожидании новой войны: в присутствии врага позволяет раздувать бюджеты и получать звезды на погоны. Дело в том, что в контексте развития технологий во всех войнах, в том числе в киберпространстве, для человечества, может быть последний».
С чисто технической точки зрения Wanna Cryptor – довольно примитивные вредоносные программы. Инфекция, как это определено несколькими Group-IB, происходит не через список рассылки, и довольно необычный: WannaCry сам сканирует сеть на предмет уязвимых хостов на скорости 50 000 000 IP в минуту, с использованием сети уязвимости Windows, установленной на компьютерах. Это объясняет скорость распространения вируса: вирус не работает на конкретные цели, и «прочесывает сеть и ищет незащищенные устройства.
WannaCry шифрует файлы, но не все, а наиболее ценные базы данных, сообщения электронной почты, папки, а затем блокирует компьютер и требует выкуп за восстановление доступа к данным в $ 300-600 расчета. Аналогичным образом, если компьютер заражен вирусом в какой-то другой сети, вредоносное программное обеспечение распространяется, и она тоже – где лавинообразный характер заражений.
Международная кибератака:
- Как избежать глобальной хакерской атаки?
- Глобальной кибератакой может стоять КНДР
- Новые версии вируса, но атаки на спад
- Сычев: финансовая система российской федерации отразила атаки вирусов
- Спрос на акции разработчиков антивируса
Инцидент с Хочу Cryptor не первый раз, что утечка подвиги и служебные программы из арсенала спецслужб злоумышленниками. С помощью одного из засвеченных Shadow Brokers инструментов АНБ — бэкдора DoublePulsar, предназначен для внедрения и запуска вредоносных программ —
злоумышленников удалось заразить более 47 тысяч компьютеров Windows, США, Великобритания, Тайвань. Эти взломали компьютеры могут быть использованы для распространения вредоносных программ, спама, атак, шпионажа, etc
Кибер-преступников, потребуется немного времени, чтобы изменить Wanna Cryptor и возобновить атаку. Поэтому сейчас — только временная передышка. Кто-то (предположительно, не разработчик оригинальной Wanna Cryptor) уже загружен в VirusTotal новая версия вируса, без функции » kill-switch. Единственный способ защитить себя, установить обновления безопасности и не запускать вредоносные программы вручную.