WannaCry: в ожидании второй волны

Специалисты по кибербезопасности ожидают сегодня новой вспышки атак нового вредоносного ПО WannaCry. Первая волна его распространения, пришедшаяся на вторую половину дня пятницы, 12 мая, буквально застала врасплох весь мир, став одной из главных тем в заголовках новостей. По последним данным, число заражений превысило 200 тысяч в 150 странах мира. Среди главных жертв атаки – Россия, Великобритания и Испания, инфицированными оказались системы многих организаций здравоохранения, телекоммуникационных компаний и государственных органов, включая и правоохранительные.

WannaCry представляет собой «гибрид» зловреда-шифровальщика и вируса, распространяющегося благодаря уязвимости протокола SMB. Эта уязвимость, предположительно, впервые была обнаружена специалистами АНБ США, которые предпочли не предавать ее огласке, используя в своих целях. В марте уязвимость была ликвидирована пакетом обновлений от Microsoft, а в апреле информацию о ней выложили в открытый доступ хакеры группировки Shadow Brokers. Таким образом, жертвами атак WannaCry становятся компьютеры на ОС Windows, на которых не установлены обновления.

Глава юридической службы Microsoft Брэд Смит в блоге корпорации резко раскритиковал спецслужбы США. Он подчеркнул, что сокрытие информации об уязвимостях от разработчиков не может быть оправдано никакими государственными интересами, поскольку неизбежно ведет к катастрофическим последствиям. Ситуацию с похищением хакерами эксплойтов АНБ он сравнил со сценарием, при котором террористы похитили бы у Пентагона несколько крылатых ракет «Томогавк». Корпорация Microsoft пошла в связи с атакой WannaCry на беспрецедентные меры, выпустив экстренные обновления безопасности даже для тех операционных систем, техническая поддержка которых давно прекращена, включая Windows XP.

Распространение WannaCry было почти случайно приостановлено в субботу британским исследователем, использующим ник MalwareTech. Он обратил внимание, что в коде зловреда содержится несуществующее и непроизносимое доменное имя iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com и в исследовательских целях зарегистрировал соответствующий домен. Как оказалось, WannaCry обращался по этому адресу перед каждым новым инфицированием и при отсутствии ответа продолжал свою работу. Однако получив отклик от зарегистрированного домена, программа приостанавливала активность. Но говорить о полной победе не приходится. Уже в воскресенье были обнаружены новые версии WannaCry, в коде которых содержатся другие доменные имена, либо вообще нет никаких отсылок к доменам.

Глава Европола Роберт Уэйнрайт назвал атаку WannaCry не имеющей аналогов по масштабу и предупредил, что следует ожидать ее продолжения. Следует также отметить, что самая крупная в истории атака злворедов-шифровальщиков пока не принесла организаторам особых дивидендов. Согласно анализу известного исследователя Брайана Кребса, по состоянию на вечер субботы хакерам было выплачено порядка 26 тысяч долларов выкупа за разблокировку инфицированных систем. По последним данным, впрочем, эта цифра выросла до 40 тысяч. Тем не менее, следует учитывать, что средняя сумма выкупа, которую требует WannaCry, составляет порядка 400 долларов в криптовалюте биткоин. Исходя из этого и общего числа инфицированных систем (около 200 тысяч), несложно подсчитать, что лишь около половины процента от всех жертв пошли на сделку с хакерами.

В ожидании новой волны атаки эксперты в очередной раз напоминают о том, что самый простой и эффективный способ защиты – своевременная установка обновлений.