РУССКИЙ
ENGLISH
РУССКИЙ
ENGLISH
15.05.2017
Эхо кибервойны
Почему WannaCry оказался опасней других вирусов-шифровальщиков
Илья Сачков
CEO Group-IB
Это было похоже на глобальную эпидемию: всего за три дня вирус-шифровальщик WannaCry атаковал 200 000 компьютеров в 150 странах мира. Вирус прошелся по сетям университетов в Китае, заводов Renault во Франции и Nissan в Японии, телекоммуникационной компании Telefonica в Испании и железнодорожного оператора Deutsche Bahn в Германии. Из-за заблокированных компьютеров в клиниках Великобритании пришлось отложить операции, а региональные подразделения МВД России — не смогли выдавать водительские права.

Те, кто запустил WannaCry, за эти дни заработали всего $43 000. Сумма для киберпреступников смешная. Для сравнения: один из взломщиков, чью деятельность расследовала Group-IB, на кражах из интернет-банкинга зарабатывал $20 млн в месяц.
История вируса WannaCry — на самом деле не про деньги. Это демо-версия последствий будущей масштабной кибервойны. И она показала, насколько уязвим современный мир перед цифровым оружием из арсенала спецслужб и киберармий. Тем более, если оно оказалось не в тех руках.
Wanna Cryptor – целевая атака (APT)?
Нет, хотя APT-инструменты явно были задействованы.

С чисто технической точки зрения Wanna Cryptor – достаточно примитивная вредоносная программа. А вот заражение, как установили криминалисты Group-IB, происходит не через почтовую рассылку, а весьма необычным для шифровальщиков образом: WannaCry сам сканирует сеть на предмет уязвимых хостов и, используя сетевую уязвимость ОС Windows, устанавливается на компьютеры. Этим объясняет скорость распространения: вирус работает не по конкретным целям, а «прочесывает» сеть и ищет незащищенные устройства.

WannaCry шифрует файлы, но не все, а наиболее ценные — базы данных, почту, архивы, потом блокирует компьютеры и требует выкуп за восстановление доступа к данным — $300-600 в биткоинах. К тому же, если зараженный компьютер подключен к локальной сети, вредоносная программа распространится и в ней тоже – отсюда и лавинообразный характер заражений.
Карта заражения вирусом-шифровальщиком WannaCry
Причина столь масштабного бедствия в том, что злоумышленники использовали шифровальщик в связке с кибероружием — EternalBlue, эксплойтом Агентства национальной безопасности (АНБ) США, который 14 апреля выложили в открытый доступ хакеры из группы Shadow Brokers.

Инцидент с Wanna Cryptor — это не первый случай, когда утечкой эксплойтов и утилит из арсенала спецслужб активно пользуются киберпреступники. С помощью еще одного из засвеченных Shadow Brokers инструментов АНБ — бэкдора DoublePulsar, предназначенного для внедрения и запуска вредоносных программ, злоумышленникам удалось заразить более 47 000 компьютеров OC Windows в США, Великобритании, на Тайване. Эти взломанные компьютеры могут использоваться для распространения вредоносных программ, рассылки спама, проведения кибератак и шпионажа т.д.
В начале апреля мы обнаружили 43 000 хостов, зараженных DoublePulsar


Хотя с тактической точки зрения эта атака достаточно продвинутая, в целом в ней нет ничего нового. Mirai, ботнет IoT, стоящий за исторически значимой DDoS-атакой на блог KrebsOnSecurity в сентябре 2016 года, был создан с использованием схожих подходов к распространению и сокрытию вируса.

Несколько других особенностей Wanna Cryptor:

  • Саморепликация: вирус распространяется на другие компьютеры как компьютерный червь. Сканирует весь диапазон IPv4 адресов, исключая зарезервированные адреса, и пытается проэксплуатировать уязвимость.
  • Целевое шифрование: вредоносное ПО выбирает для шифрования наиболее чувствительные документы - электронную почту, ключи шифрования и сертификаты, файлы исходных кодов, архивы, файлы MS Office, виртуальные машины, базы данных.
  • Защита от исследования: он устанавливает TOR для связи с командными серверами (C&C).
Вирусы-вымогатели: что это вообще такое?
Программы-вымогатели известны давно: еще в конце 80-х вирус AIDS («PC Cyborg»), написанный Джозефом Поппом, скрывал каталоги и шифровал файлы, требуя выплатить около $200 за «продление лицензии». Сначала программы-вымогатели были нацелены только на обычных людей, использующих компьютеры под управлением Windows, но сейчас сама угроза стала серьезной проблемой для бизнеса: программ появляется все больше, они становятся дешевле и доступнее. Вымогательство с использованием вредоносных программ — основная киберугроза в 2\3 странах Евросоюза. Один из самых распространенных вирусов-вымогателей программа CryptoLocker — начиная с сентября 2013 года заразил более четверти миллиона компьютеров в странах ЕС.

В 2016 году количество атак шифровальщиков резко увеличилось – по оценкам аналитиков, более, чем в сто раз по сравнению с предыдущим годом. Это – нарастающий тренд, причем под ударом, как мы увидели, оказались совершенно различные компании и организации. Угроза актуальна и для некоммерческих организаций. Так как для каждой крупной атаки вредоносные программы модернизируются и тестируются злоумышленниками на «прохождение» через антивирусную защиту, антивирусы, как правило, против них бессильны.

Кому в первую очередь угрожает WannaCry?
  1. Все компании, на компьютерах которых не установлен патч безопасности MS17-010.
  2. Крупные компании — чем больше компьютеров в локальной сети, тем больше хостов может быть подвержено заражению.
  3. Пользователи пиратского ПО, не поддерживаемого Microsoft.
Так выглядит экран компьютера, заблокированного вирусом WannaCry
Под угрозой ли домашние пользователи?
Только если они запустят вирус вручную или имеют доступ к Интернету через локальную сеть провайдера. Настроенные по умолчанию домашние маршрутизаторы, не позволяют 445-порту, который вредоносные программы используют для самораспространения, быть доступным «снаружи».
Я установил патч MS17-010, теперь я в безопасности?
Да, только если не станете запускать вредоносный файл вручную. В этом случае файлы на компьютере будут зашифрованы, даже если патч уже установлен.
Что если я использую версию Windows, не поддерживаемую обновлениям безопасности Microsoft?
Microsoft выпустила специальную серию обновлений безопасности для Win Server 2003 и Win XP. Установите их как можно скорее, иначе у вас могут возникнуть неприятности.
Это русские хакеры?
Ни Group-IB, ни кто-либо другой не может подтвердить или опровергнуть российское происхождение нападавших без тщательного расследования. Мы не нашли среди целевых файлов расширений файлов «1С», на которые обычно нацелены шифровальщики, созданные в России. Но без дальнейшего исследования однозначный вывод сделать невозможно.
Почему в первую очередь заразили государственные учреждения?
У нас нет информации, которая указывала бы на то, что именно правительственные органы были бы основной целью злоумышленников. Вредоносная программа сканирует и может заразить ЛЮБЫЕ хосты, вне зависимости от их принадлежности. Один из самых логичных ответов — жертвы просто не успели установить обновления.
Платить ли выкуп?
За разблокировку компьютеров преступники требовали сравнительно небольшой выкуп — от 300 до 600$, и заработали всего $42 000. Мы знаем об этом доподлинно, ведь биткоин-кошельки устроены таким образом, что их содержимое (но не принадлежность) видно любому. Выходит, что при 200 000 заражений деньги заплатило всего 100-150 человек. Это говорит о важном переломе в восприятии шифровальщиков как угрозы: люди больше не готовы платить вымогателям за расшифровку. Возможно, данная атака, с учетом ее известности, станет одновременно и кульминацией, и концом эпохи шифровальщиков.

Мы не рекомендуем платить выкуп, так как:
  • таким образом вы помогаете преступникам;
  • у нас нет доказательств, что данные тех, кто заплатил, были восстановлены.
Остановилась ли эпидемия?
Массовая атака была временно остановлена, когда исследователь из Великобритании зарегистрировал домен, к которому вредоносная программа обращалась, начиная свою деятельность. Вредоносная программа запускалась при условии, что домен не зарегистрирован. Сейчас, когда домен зарегистрирован, установленная вредоносная программа обращается к нему и, получив ответ, прекращает любую деятельность.

Однако организациям, использующим прокси-серверы, этот «kill switch» не поможет, так как Wanna Cryptor не сможет достичь домена.

Единственный надёжный способ защититься – установить обновления безопасности и не запускать вредоносную программу вручную.
Зачем вредоносной программе была нужна функция «kill switch»?
Можем только догадываться. Наше мнение - это «выключатель» для авторов программы на случай, если ситуация выйдет из-под контроля.
Когда начнется «вторая волна» заражения?
Киберпреступникам потребуется совсем немного времени, чтобы модифицировать Wanna Cryptor и снова запустить атаку. Таким образом, сейчас - лишь временная передышка. Кто-то (предположительно не разработчик оригинальной Wanna Cryptor) уже загрузил в VirusTotal новую версию вируса без функции kill-switch.

Единственный надежный способ защититься – установить обновления безопасности и не запускать вредоносного ПО вручную.
Что надо сделать, чтобы защититься от подобных атак?
Устанавливайте обновления системы и патчи систем безопасности ВОВРЕМЯ.
2
Если в корпоративной сети остались непропатченные ПК, не позволяйте сотрудникам подключать к сети ноутбуки, принесенные из дома.
3
Регулярно создавайте резервные копии своих систем.
4
Внедрите политику «нулевого доверия» и организуйте тренинг по информационной безопасности для ваших сотрудников.
5
Рассмотрите возможность отключения SMB в качестве временной меры.
6
Подпишитесь на уведомления технической безопасности Microsoft.
7
Создание мьютексов (структур данных для синхронизации потоков) MsWinZonesCacheCounterMutexA и Global\MsWinZonesCacheCounterMutexA0 предотвратит запуск вируса.
Проинструктируйте своих сотрудников
Если вы заметили, что ваш компьютер «тормозит», появляются файлы со странными расширениями, немедленно выключите его. Таким образом вы предотвратите дальнейшее шифрование файлов. Кстати, система киберразведки Group-IB Threat Intelligence заранее информировала клиентов об уязвимости, используемой Wanna Cryptor.
WannaCry: что дальше?
Моя позиция довольно простая: на цифровое оружие должен быть наложен мораторий, а каждая кибератака должна расследоваться специальной комиссией на уровне ООН. К сожалению, вся история человечества показывает, что военные постоянно живут в ожидании новой войны: наличие внешнего врага позволяет раздувать бюджеты и получать звезды на погоны. Штука в том, что при современном развитии технологий, любая война, в том числе и в киберпространстве, для человечества может оказаться последней.
1