Вести Экономика

ВЕСТИ Прямой Эфир

 

      Group-IB: WannaCry - демо-версия кибервойны

      Распечатать

      17.05.2017 13:10

      Вероятно, что вирус WannaCry запущен не с целью получения заработка. Это демо-версия последствий будущей масштабной кибервойны, пишет генеральный директор Group-IB Илья Сачков в блоге на сайте компании. Кибератака показала, насколько уязвим современный мир перед цифровым оружием из арсенала спецслужб и киберармий. Тем более если оно оказалось не в тех руках.

      Программы-вымогатели известны давно: еще в конце 80-х гг. вирус AIDS (PC Cyborg), написанный Джозефом Поппом, скрывал каталоги и шифровал файлы, требуя выплатить около $200 за "продление лицензии". Сначала программы-вымогатели были нацелены только на обычных людей, использующих компьютеры под управлением Windows, но сейчас сама угроза стала серьезной проблемой для бизнеса: программ появляется все больше, они становятся дешевле и доступнее.

      Самая масштабная международная атака

      WannaCry войдет в историю как одна из мощнейших и быстрых кибератак, но первенство принадлежит не криптолокеру. Вирус ILOVEYOU, также известный как LoveLetter, успешно атаковал миллионы компьютеров под управлением Windows в 2000 году, когда он был разослан в виде вложения в электронное сообщение. Вирус был разослан на почтовые ящики с Филиппин в ночь с 4 мая на 5 мая 2000 года; в теме письма содержалась строка «ILoveYou», а к письму был приложен скрипт «LOVE-LETTER-FOR-YOU.TXT.vbs». В большинстве случаев пользователь открывал вложение.

      При открытии вирус рассылал копию самого себя всем контактам в адресной книге Microsoft Outlook. Он также перезаписывал файлы определённых типов и распространялся через IRC-каналы, создавая файл LOVE-LETTER-FOR-YOU.HTM в системном каталоге Windows. В общей сложности, вирус поразил более 3 миллионов компьютеров по всему миру. Предполагаемый ущерб, который червь нанёс мировой экономике, оценивается в размере $10-15 млрд, за что вошёл в Книгу рекордов Гиннесса, как самый разрушительный компьютерный вирус в мире.

      Быстрому распространению вируса послужили пользователи, открывавшие файл, тем самым передавали программу дальше, то есть механизм передачи был основан на методах социальной инженерии. Этим отличается WannaCry - вирус сам сканирует сеть на предмет уязвимых хостов и, используя сетевую уязвимость ОС Windows, устанавливается на компьютеры.


      Вымогательство с использованием вредоносных программ — основная киберугроза в 2/3 странах Евросоюза. Один из самых распространенных вирусов-вымогателей - программа CryptoLocker - начиная с сентября 2013 г. заразил более четверти миллиона компьютеров в странах ЕС.

      В 2016 г. количество атак шифровальщиков резко увеличилось: по оценкам аналитиков, более чем в сто раз по сравнению с предыдущим годом. Это нарастающий тренд, причем под ударом, как мы увидели, оказались совершенно различные компании и организации, пишет Илья Сачков. Угроза актуальна и для некоммерческих организаций. Так как для каждой крупной атаки вредоносные программы модернизируются и тестируются злоумышленниками на "прохождение" через антивирусную защиту, антивирусы, как правило, против них бессильны.

      Мнение эксперта

      Илья Сачков
      генеральный директор Group-IB
      "Моя позиция довольно простая: на цифровое оружие должен быть наложен мораторий, а каждая кибератака должна расследоваться специальной комиссией на уровне ООН. К сожалению, вся история человечества показывает, что военные постоянно живут в ожидании новой войны: наличие внешнего врага позволяет раздувать бюджеты и получать звезды на погоны. Штука в том, что при современном развитии технологий любая война, в том числе и в киберпространстве, для человечества может оказаться последней".


      С чисто технической точки зрения Wanna Cryptor – достаточно примитивная вредоносная программа. Заражение, как установили криминалисты Group-IB, происходит не через почтовую рассылку, а весьма необычным образом: WannaCry сам сканирует сеть на предмет уязвимых хостов со скоростью 50 000 000 IP в минуту и, используя сетевую уязвимость ОС Windows, устанавливается на компьютеры. Этим объясняет скорость распространения: вирус работает не по конкретным целям, а "прочесывает" сеть и ищет незащищенные устройства.

      WannaCry шифрует файлы, но не все, а наиболее ценные — базы данных, почту, архивы, потом блокирует компьютеры и требует выкуп за восстановление доступа к данным — $300-600 в биткоинах. К тому же, если зараженный компьютер попал в какую-то другую сеть, вредоносная программа распространится и в ней тоже – отсюда и лавинообразный характер заражений.

      Инцидент с Wanna Cryptor — это не первый случай, когда утечкой эксплойтов и утилит из арсенала спецслужб активно пользуются киберпреступники. С помощью еще одного из засвеченных Shadow Brokers инструментов АНБ - бэкдора DoublePulsar, предназначенного для внедрения и запуска вредоносных программ, - злоумышленникам удалось заразить более 47 тыс. компьютеров OC Windows в США, Великобритании, на Тайване. Эти взломанные компьютеры могут использоваться для распространения вредоносных программ, рассылки спама, проведения кибератак, шпионажа и т. д.

      Киберпреступникам потребуется совсем немного времени, чтобы модифицировать Wanna Cryptor и снова запустить атаку. Таким образом, сейчас - лишь временная передышка. Кто-то (предположительно, не разработчик оригинальной Wanna Cryptor) уже загрузил в VirusTotal новую версию вируса без функции kill-switch. Единственный надежный способ защититься – установить обновления безопасности и не запускать вредоносного ПО вручную.

      Рубрики: Технологии

      Метки: Group-IB, WannaCry, Илья Сачков, вирус, кибератака

      Читайте также

      

      Видео

      

      Инфографика

        Популярное

        • Северная Корея - триллионы долларов под землей

          16.06.2017

          Немногие считают Северную Корею процветающей страной. Но есть то, чем она действительно богата: минеральные ресурсы.

        • Саудовская Аравия: новый нефтяной бум уже близко

          09.06.2017

          Эта история началась 80 лет назад в Пермском бассейне на огромном, богатом нефтью месторождении Уордлоу. Многие нефтяные компании вкладывали миллиарды долларов в разработку месторождения.

        • СФ: США готовят мощный удар по Сирии

          09.06.2017

          США готовят крупномасштабную операцию по силовому свержению президента Сирии Башара Асада и установлению в Сирии подконтрольного США режима, заявил сенатор и ветеран разведки Игорь Морозов.

        • Миф о непобедимом сланце в США постепенно рушится

          13.06.2017

          Несмотря на то что количество буровых установок постоянно растет в наиболее плодовитом сланцевом бассейне в США, производительность по вновь пробуренным скважинам снижается каждый месяц с сентября 2016 г., сообщило EIA Минэнерго США.

        • Голикова: пенсию нужно поднять почти в 2 раза

          20.06.2017

          Сейчас пенсия в России составляет всего 1,6 прожиточного минимума, а поднять ее нужно до уровня 2,5-3 прожиточных минимумов. Об этом сообщила председатель Счетной палаты Татьяна Голикова в эксклюзивном интервью телеканалу "Россия 24" в программе "Мнение".

        Актуальные темы

        • Хуже Brexit'а: британский бизнес подавлен выборами

          По данным опроса Института директоров Великобритании, итоги досрочных парламентских выборов в стране привели к тому, что в руководстве британских компаний установились более негативные настроения, чем после референдума о выходе из Евросоюза.

        • Суворов: угрозы "цифрового Средневековья" (лекция)

          О том, как выжить в эпоху "цифрового Средневековья", на форуме Vestifinance рассказал Андрей Суворов, директор по развитию направления безопасности критической инфраструктуры "Лаборатории Касперского".

        • Катарский кризис: все дело в газе

          Согласно официальным данным причиной разрыва дипломатических и экономических отношений стран Персидского залива с Катаром стало финансирование последним различных террористических группировок.

        • Перекроить Сирию: нефть, газ и религиозная мозаика

          В этом году исполняется 101 год с момента заключения соглашения Сайкса-Пико, и в свете непрекращающейся сирийской гражданской войны пришло время спросить, как это работает.

        Рекомендуем

        Карта российского рынка

        Метки

        Медиаметрикс

        Обратная связь закрыть

        Форма обратной связи

        Пожалуйста, введите текст изображенный на картинке внизу.

        Отправить

        Ошибка на сайте закрыть

        Форма Отправки ошибки на сайте

        Пожалуйста, введите текст изображенный на картинке внизу.

        Код чувствителен к регистру. Чтобы обновить, кликните один раз на картинке.

        Отправить