Кто стоит за вирусом WannaCrypt, который вырубил МВД, РЖД и больницы
«Россия здесь совершенно ни при чём». Даже Владимир Путин решил прокомментировать хакерскую атаку года, в результате которой за три последних дня вирус-вымогатель WannaCrypt заблокировал более 200 000 компьютеров в 150 странах.
«Россия здесь совершенно ни при чём» — даже Владимир Путин решил прокомментировать хакерскую атаку года, в результате которой за три последних дня вирус-вымогатель WannaCrypt заблокировал более 200 000 компьютеров в 150 странах.
WannaCrypt (его также называют WannaCry, WanaCrypt0r 2.0 и Wanna Decryptor) распространяется через локальные сети, поэтому от него пострадали почти исключительно организации, а не индивидуальные пользователи. На интерактивной карте, которую сделала компания Intel, можно следить, как WannaCrypt продолжает распространяться по всему миру в реальном времени. В России жертвами атаки стали, в частности, «Мегафон», «Вымпелком», некоторые банки, а также компьютеры МВД, МЧС и РЖД. У ГИБДД в результате атаки сломалась система выдачи водительских прав. Могло быть хуже. Например, в Великобритании атаке подверглись десятки тысяч компьютеров, установленные в государственных медицинских учреждениях.
Вирус поражает компьютеры с различными версиями Windows (только новейшая Windows 10 вне угрозы). При этом он атакует не только ПК — также пострадали сервера, банкоматы, информационные стенды и даже аппараты МРТ. WannaCrypt шифрует все файлы, добавляя к ним расширение WNCRY. После на экране появляется сообщение, в котором хакеры просят выкуп за дешифровку: нужно перечислить $300 в биткоинах на указанный кошелёк. В левой части экрана — два таймера. Если не заплатить в течение трёх дней сумма выкупа вырастет в три раза, а через неделю WannaCrypt угрожает уничтожить информацию.
Microsoft знала об уязвимости, которую использует вирус, и закрыла её ещё в марте. Все, чьи компьютеры получилось заразить, видимо, просто забыли обновить софт. О том, что эта уязвимость существовала, несколько месяцев назад стало известно в результате утечки данных из Агентства национальной безопасности США. Фактически хакеры использовали инструментарий, разработанный американскими спецслужбами.
Если бы создатели WannaCrypt получили выкуп за каждый из 200 000 заражённых компьютеров, они бы в итоге похитили у пользователей $60 млн. Но к началу сегодняшнего дня хакеры собрали едва $50 000. Компании и государственные учреждения, очевидно, не собираются платить вымогателям. Было бы странно, если бы они повели себя иначе. Какие цели в таком случае преследует эта атака? И кто за ней может стоять? «Секрет» задал эти вопросы экспертам, а также суммировал реакцию, пожалуй, главной жертвы атаки — компании Microsoft, которая получила серьёзный репутационный ущерб.
МненияМотив у хакеров, на мой взгляд, мог быть только один — заработать. Вирусы-шифровальщики — один из самых популярных способов. На компьютере может не быть интернет-банкинга, через который можно украсть деньги, но хоть какая-то важная информация есть: фотографии, почта, базы данных. Обычно вирусы-шифровальщики зарабатывают много. Например, я знаю, что одна зарубежная медицинская компания недавно отдала за расшифровку своих данных $300 000.
Атаку, которая началась в пятницу и продолжается до сих пор, ведут не очень профессиональные злоумышленники. Заражение компьютеров МВД — это случайность, потому что такие жертвы выкуп никому платить не будут. Если оценивать действия хакеров по пятибалльной шкале, я бы поставил им четыре с плюсом за использование уязвимостей и алгоритм распространения, но за креатив — тройку.
Учитывая то, на какие компьютеры попал вирус, можно было бы доставить разные типы вредоносных программ — например, банковские трояны или трояны для шпионажа. Там, где есть платёжная система, нужно воровать деньги, а там, где есть ценная информация, нужно требовать большой выкуп за неразглашение. Но дело в том, что сам по себе вирус-шифровальщик не видит, в компьютере какой организации сидит.
Что касается масштаба атаки. Кажется, что 200 000 компьютеров — это много. На самом деле подобное происходит постоянно — просто информация редко попадает в СМИ. Когда в первые часы наши криминалисты узнали про WannaCrypt, они даже удивились такому хайпу: «Ну да, шифровальщик, что такого?» Тут дело не в том, что что-то сверхновое придумали хакеры, а в том, как это распространялось в новостях.
Для сравнения, трояны под Android каждый день заражают даже не сотни тысяч, а миллионы смартфонов. Такие вирусы тоже могут сильно испортить жизнь. Они крадут деньги, прослушивают разговоры. Злоумышленники могут завладеть вообще всей информацией и, например, начать рассылать какие-то сообщения от имени владельца всем его контактам. Такие трояны — это кошмар.
Не думаю, что создатели WannaCrypt ожидали такого количества новостей — преступность любит тишину. Не факт, что теперь они будут отправлять ключи после оплаты: знаю нескольких людей из России, которые заплатили ещё в пятницу, но код так и не получили. Вероятно, дело в том, что теперь организаторов усиленно ищут спецслужбы всех стран и они боятся высовываться. Если их не поймают и они так же хитро продолжат использовать свежие уязвимости, за год смогут заработать несколько миллионов долларов. Но я готов поставить бутылку шампанского на то, что их арестуют в ближайшие три месяца.
Где их искать? Много компьютеров заражено в России и США, поэтому, скорее всего, злоумышленники вряд ли находятся в этих двух странах. Если, конечно, эти люди не идиоты. Вообще, шифровальщики любят азиатские страны. Возможно, это дело рук китайских хакеров.