Охота на кибервымогателей. Как изменится мир после атаки WannaCry
Атака вируса-вымогателя WannaCry, поразившая сотни тысяч компьютеров во многих странах, вынудит извлечь уроки всех: и разработчиков программного обеспечения, и рядовых пользователей, и правительства государств, и борцов с киберпреступностью, как, впрочем, и самих интернет-вымогателей.
Чтобы оценить предстоящие перемены, нужно сначала чуть углубиться в историю вопроса.
Откуда взялся WannaCry
Атака WannaCry потому и беспрецедентна, что это первое нападение, нацеленное не на узкий круг заранее подобранных жертв, а потенциально на всех, кто пользуется операционной системой Windows. Вирус проникает в систему с помощью хакерской программы EternalBlue. Та, в свою очередь, эксплуатирует уязвимость Windows, о которой было известно еще в феврале 2017 г. Корпорация Microsoft 14 марта выпустила обновление, нейтрализующее EternalBlue, и рекомендовала всем пользователям обновить свою операционную систему. Однако это не спасло тех юзеров, на чьих компьютерах установлены старые версии Windows или же кто пользуется пиратскими операционками, не получающими апдейты от Microsoft.
Некоторые специалисты по кибербезопасности, в т. ч. из Google и Symantec, заявили, что нашли технические улики в WannaCry, свидетельствующие о причастности к созданию вируса хакерской организации Lazarus Group, которая вроде бы базируется в Китае, а действует в интересах Северной Кореи. Однако первая версия вируса была обнаружена еще 10 февраля, поэтому вполне может быть, что кибервымогатели, организовавшие атаку через три месяца, просто воспользовались чужой разработкой.
В число тех, кто давно знает об EternalBlue, входит Агентство национальной безопасности (АНБ) США. Об этом стало известно в апреле от хакерской группировки Shadow Brokers. 8 апреля, после ракетного удара США в Сирии, эта группировка обнародовала заявление, в котором на ломаном английском обвинила Трампа в измене "людям, которые за него голосовали" и которые ему помогали. "Отдельные эксперты считают, что это указывает на связь Shadow Brokers с российским правительством", – утверждает британское издание The Telegraph. А 14 апреля Shadow Brokers выложила в открытый доступ документы АНБ, содержащие подробное описание уязвимостей Windows.
Так информация, которую кропотливо собирало для себя АНБ, стала доступна кибермошенникам. "Вполне вероятно, что обычные интернет-преступники просто использовали с целью наживы информацию, которую Shadow Brokers оставили в интернете", – цитирует The Telegraph эксперта по компьютерной безопасности Грэма Клули.
В чем просчитались вымогатели
Атака WannaCry началась 12 мая и за первые два дня, как заявил директор "Европола" Роб Уэйнрайт, затронула 200 тыс. пользователей в 150 странах мира. Среди жертв оказались, в частности, компьютерные системы испанской телекоммуникационной системы Telefonica и немецкого железнодорожного концерна Deutsche Bahn. Французский автопроизводитель Renault был вынужден прекратить производство на заводах во Франции и Словении. Особенно массовым было поражение компьютеров в России, где жертвами атаки стали МВД, Следственный комитет, "Мегафон", РЖД и Сбербанк.
15 мая советник президента США по национальной безопасности Том Боссерт сообщил, что взлому подверглись уже более 300 тыс. компьютеров в 150 странах. Жертвы WannaCry заплатили в общей сложности около $70 тыс. выкупа, но неизвестно ни одного случая, когда выплата выкупа привела бы к разблокированию компьютеров, заявил Боссерт.
Эксперт по информационной безопасности Рюдигер Трост в интервью Die Zeit высказал мнение, что "хакеры не рассчитывали на такое масштабное действие вируса". Похоже, и правда хакеры недооценили, какой шум они вызовут. Но их просчет не только в этом. Они создали прецедент, который не на шутку встревожил и разозлил западные правительства. Раньше ни одна группировка не претендовала на способность выводить из строя компьютеры по всему миру. Это было эксклюзивной прерогативой американских спецслужб, которой те еще ни разу по-настоящему не пользовались. И тут их опередили какие-то прохиндеи. Причем не сами придумали, как взломать Windows, а воспользовались сворованными изысканиями АНБ, из-за чего американские спецслужбы теперь подвергаются в западных СМИ жесткой критике и даже насмешкам.
Немалый вклад в эту кампанию внес президент Microsoft Брэд Смит, что вполне логично, поскольку Microsoft очень важно снять с себя вину за уязвимости Windows. "Мы видели, что данные об уязвимостях, собранные ЦРУ, были опубликованы на WikiLeaks. Теперь украденные у АНБ данные затронули пользователей по всему миру", – отметил Смит в своем блоге на сайте корпорации. Он подчеркнул, что правительства должны сообщать об обнаруженных спецслужбами уязвимостях разработчикам ПО, а не накапливать, продавать или эксплуатировать эти уязвимости.
Нетрудно понять, что вымогатели стали злейшими врагами американских спецслужб. И если все это ради $70 тыс., то вряд ли оно того стоит.
Чего ждать дальше
The Wall Street Journal сообщает, что правительственные органы начали глобальную охоту за виновниками атаки. "Это сложное международное расследование, которое потребует сотрудничества и обмена разведданными на том же уровне, что и при расследовании крупных терактов", – отмечает издание.
Президент США Дональд Трамп в ночь на 13 мая созвал срочное совещание по вопросам внутренней безопасности из-за стремительного распространения WannaCry. По данным Reuters, затем 13 мая состоялось заседание высокопоставленных чиновников в сфере безопасности, на котором ФБР и АНБ пытались установить исполнителей кибератак.
В тот же день на встрече министров финансов стран G7 в городе Бари (Италия) было заявлено, что борьба с киберпреступностью должна иметь приоритетный характер. Необходимые меры будут обсуждаться на саммите G7 на высшем уровне 26–27 мая в Таормине (Италия).
Уже меняется жизнь рядовых юзеров. 13 мая Microsoft пошла на нестандартный шаг и решила выпустить патч для старых версий Windows. Но можно ожидать, что многие компании и госструктуры, до сих пор пользовавшиеся старыми Windows, таки раскошелятся на новые версии (разумеется, легальные, а не пиратские). Так что в итоге Microsoft может оказаться в крупном выигрыше.
Также уже выиграли компании в сфере кибербезопасности. Их акции дорожают, а число заказов растет.
Конечно, постараются отыграться американские спецслужбы. Но для этого будет маловато поимки мелких кибершантажистов. А более крупным уловом могут быть только российские хакеры, работающие на Кремль. И то, что к WannaCry они непричастны, никого не будет волновать.
Чем уникален WannaCry
Кибервымогательство - вообще-то довольно распространенное явление. Но оно редко бывает масштабным. Обычно программы-вымогатели сконцентрированы на ограниченном числе мишеней, готовых заплатить за восстановление сверхчувствительных для них данных. При этом вирусы пользуются слабой киберзащищенностью своих жертв. Зачастую программы-вымогатели прячутся в текстовых файлах или PDF-документах и распространяются по почте.
Однако многие юзеры, чьи компьютеры пострадали от WannaCry, утверждают, что в последнее время не заходили в почту и не открывали сомнительные вложения. Вирус проникал иным путем. У многих жертв за несколько дней до того, как вирус зашифровал все имеющиеся на компьютере файлы, система либо бесконтрольно перезапускалась, либо требовала перезагрузить компьютер из-за некой критической ошибки, заботливо напоминая о необходимости сохранить все важные рабочие файлы.
Пострадавшие сообщили также, что антивирусы не способны обнаружить WannaCry. На полный цикл зашифровки у него уходит около четырех часов, но в окне процессов сторонних программ не наблюдается. Зашифровав все данные на жестком диске, вирус требует заплатить $300 в биткоинах. На размышление отводится три дня, после чего сумма выкупа увеличивается вдвое, а через неделю файлы остаются зашифрованными навсегда.