Эксперты считают, что к кибератаке причастная северокорейская группировка или новички. Однако твердых доказательств все еще нет.
Организации по всему миру все еще не оправились от самой массовой кибератаки в истории, которая произошла 12 мая, как хакеры нанесли второй удар в понедельник.
Вирус-вымогатель WannaCry, который использовал уязвимость в программном обеспечении Windows, атаковал около 300 тысяч компьютеров в 150 странах.
Специалисты по кибербезопасности первые технические улики в WannaCry нашли только вчера, а жертвы вируса уже выплатили хакерам 70 тысяч долларов.
Корреспондент.net разбирался, что известно о вирусе WannaCry, поразившем весь мир.
Кибератаки и ее последствия
Под утро 12 мая MalwareHunterTeam, отслеживающие новые вирусы, написали в своем Twitter, что по сети "с дьявольской скоростью" расходится новый вирус WanaCrypt0r 2.0 или WannaCry.
Вирус начал поражать комрьютеры с Испании и Португалии, затем разошелся по всей Европе, Азии и США. WannaCry поразил комрьютеры в Сингапуре и Тайване, а также в Австралии и Латинской Америке.
Больше всех пострадала Европа. При этом Лаборатория Касперского заявила, что среди компьютеров, подвергшихся атаке, большинство принадлежит россиянам.
Карта распространения WannaCry за 12 мая / intel.malwaretech.com
Хакеры использовали найденную в Windows "дыру", которая изначально была обнаружена Агентством национальной безопасности США.
Об уязвимости сообщалось в конфиденциальных документах агентства, которые были похищены у него, а затем выложены в интернете в марте 2017 года.
Тогда же Microsoft выпустила программу, закрывающую эту уязвимость, но на компьютерах, которые подверглись атаке, по всей видимости, не установили обновления.
Вирус распространяется по электронной почте. Он блокирует все файлы и требует выкуп в размере 300 долларов в биткоинах для разблокировки данных в течение трех дней.
Если необходимая сумма не поступит, то автоматически она будет увеличена вдвое. На седьмой день вирус уничтожит данные.
"Ваши файлы были зашифрованы. Ваши документы, фотографии, видео, базы данных и прочие файлы больше недоступны, потому что были зашифрованы. Наверное, вы пытаетесь найти способ вернуть ваши файлы, но не тратьте время напрасно. Этого не может сделать никто, кроме нашей шифровальной службы".
Такое сообщения высвечивалось пользователям зараженных компьютеров. Причем сообщение выводится на 28 разных языках - в каждой стране на своем.
Скриншот экрана зараженного WannaCry компьютера
Хакерам выплатили 70 тысяч долларов, однако ни одного компьютера они не разблокировали.
Кибератаке подверглись как частные пользователи, так и компьютеры корпораций и госпредприятий, в том числе больницы.
В Испании кибератаке поверглись крупные организации, в том числе телекоммуникационная коммания Telefonica, газовая компания Gas Natural, оператор электросетей Iberdrola и банк Iberica.
В Великобритании жертвами вируса стали объекты системы здравоохранения. Во Франции пострадал Renault, в Германии - Deutche Bank.
В МВД России вирус заразил около тысячи компьютеров ведомства. Также WannaCry поразил телекоммуникационную компанию Мегафон и Сбербанк РФ.
WannaCry в Украине
В Государственной службе специальной связи и защиты информации Украины рассказали, что большей части случаев инфицирования информационных систем государственного сектора вирусом WannaCry удалось избежать.
Атаке подверглся Нацбанк Украины. Там говорят, что попытки кибератак успешно нейтрализуются. Укртелеком полностью смог отразить атаку.
СМИ сообщают, что пострадали украинские банки из первой десятки, но в финучереждениях отрицают атаку.
Вторая волна кибератаки WannaCrypt в Украине не состоялась.
За атаками стоят новички из Северной Кореи?
Первая версия вируса появилась 10 февраля под названием WanaCrypt или Wana Decryptor.
25 марта вирус распространялся при помощи спама и "заминированных" сайтов, но никто не повелся.
Вторая версия, известная как WannaCry, практически идентична первой. У вируса появился модуль, который превращает вредоносную программу в "червя", способного распространяться самостоятельно.
Примечательно, что распространение первой волный вируса 12 мая остановил 22-летний самоучка Маркус Хатчинс, который работает у себя в спальне на севере графства Девон и соорудил у себя на дому целую лабораторию по препарированию хакерских программ.
По его словам, изучив WannaCry, он очень удивился, насколько непрофессионально был слеплен этот вирус.
"Это похоже на то, что я делал в качестве хобби. Я передал информацию британским властям, американским властям и всем, кто мог бы этим заняться", - цитирует его Times.
Оказалось, что авторы WannaCry забыли зарегистрировать адрес домена, прописанный в коде вируса.
Этот адрес работает как рубильник, прекращающий распространение вируса, чем и воспользовался Хатчинс, неожиданно для себя, сумел остановив распространение вируса по планете.
Это наталкиваеи на мысль, WannaCry - дело рук относительных новичков в подобного рода вымогательствах.
Улик не так много, при этом, как известно, хакеры специально оставляют ложные следы, чтобы запутать следствие.
Метка времени создания кода указывает, что он был создан на компьютере в девяти часовых поясах к востоку от Гринвича, что дает основания полагать, что его авторы могли находиться в восточной части Азии.
WannaCry использует сразу три аккаунта биткойнов, что серьезно затруднит работу вымогателей, если, конечно, те вообще собирались размораживать захваченные компьютеры.
Некоторые специалисты по кибербезопасности в понедельник заявили, что нашли определенные технические улики в WannaCry, на основании которых можно заподозрить в причастности к созданию и запуску вируса Северной Кореи.
Symantec и Лаборатория Касперского отмечают, что первая версия WannaCry появлялась в программах Lazarus Group, которую многие считают северокорейской хакерской организацией.
При этом глава исследовательского отдела компании F-Secure Микко Хиппонен говорит, что анализ программы-вымогателя пока не выявил никаких твердых доказательств.