«Упс! Все данные на вашем компьютере зашифрованы. Вы можете их расшифровать и получить обратно, заплатив 300 долларов. Если в течение трех дней вы не переведете указанную сумму, то она удвоится, а через семь дней ваши данные будут полностью уничтожены».
Примерно такое сообщение увидели более 300 тыс. пользователей компьютеров в 150 странах мира, которые пострадали от самой разрушительной кибератаки современности, получившей название WannaCry («Хочется плакать»). Жертвам вымогателей действительно хотелось плакать: все данные на их компьютерах, включая, скажем, милые детские фотографии или же ценные базы данных клиентов, оказались зашифрованы и уничтожены вирусом.
Кибератака ударила по самому широкому кругу пользователей: от рядовых граждан до медицинских учреждений, крупных заводов, банков, государственных органов. Вирус начал стремительно распространяться 12 мая. Сначала он поразил компьютеры в Испании — к числу первых жертв относятся такие компании этой страны, как Telefónica (телекоммуникации), Gas Natural (поставки газа), Iberdrola (поставки электричества), банк Santander, испанский филиал консалтинговой компании KPMG.
Позже вредоносная программа перекинулась на другие страны: всего за сутки эпидемия охватила порядка 150 тыс. компьютеров по всему миру. В Великобритании были инфицированы порядка полусотни больниц Национальной службы здравоохранения, в Германии — компьютеры железнодорожного перевозчика Deutsche Bahn, во Франции компания Renault из-за действия вируса приостановила работу ряда своих заводов.
Много жертв оказалось и в других странах — например, в Китае, Индии, Бразилии, Мексике, Японии, Южной Корее. Моментально вирус добрался и до России, которая сейчас считается наиболее пострадавшей от кибератаки. Ее жертвами признали себя Сбербанк, «Мегафон», РЖД, сильно досталось информационным системам МВД России. Представители министерства сообщили, что порядка 1% их компьютерного парка оказалось зараженным. Из-за атаки МВД было вынуждено приостановить деятельность ряда учреждений, в частности, в некоторых регионах прекратили выдачу водительских удостоверений и регистрацию автомобилей. Вирус умудрился заявить о себе в самых неожиданных местах: в Саратове, например, он поразил информационную систему одного из крупных торговых центров, посетители которого на больших информационных панелях вместо привычной рекламы увидели требования преступников о выкупе.
Механизм самораспространения
Столь быстро распространиться вирусу WannaCry позволила его особая структура. Преступникам удалось соединить два ключевых элемента вредоносной программы, в результате чего она получила мощную разрушительную силу. Первая часть — это «червь», который успешно проникает на компьютеры, используя уязвимости установленной на нем операционной системы. И вторая — «шифровальщик», который после попадания на компьютер быстро делает свое черное дело: шифрует с помощью известного только преступникам кода все данные на ПК. Заражение компьютера проходило стремительно: чтобы поразить один ПК, вирусу требовалось в среднем три минуты.
Но главная опасность вредоносной программы заключается в том, что она может стремительно распространяться полностью самостоятельно, без каких-либо действий со стороны владельца компьютера. «Кампания с WannaCry отличается от других вымогательских атак тем, что она содержит в себе “червь”, который позволяет “зловреду” распространяться вообще без участия пользователя. Как правило, для начала атаки от пользователя требуется совершить какое-либо действие: пройти по ссылке, открыть вложенный в письмо файл. В данном случае “зловред” способен распространяться в сети самостоятельно», — указывает Сергей Невструев, эксперт по безопасности компании Check Point Software Technologies.
«Особенность вируса WannaCry заключается в комбинации методов — новой уязвимости и так называемого трояна-шифровальщика, — продолжает Эльмар Набигаев, руководитель отдела реагирования на угрозы информационной безопасности компании Positive Technologies. — Трояны-шифровальщики последние несколько лет являются основной угрозой и для частных пользователей, и для предприятий. Но для злоумышленников всегда был проблемой сам механизм распространения: заражение небольшого количества узлов ограничивает потенциал заработка для злоумышленников. Связка новой уязвимости и механизма самораспространения позволила получить беспрецедентную по масштабам базу “клиентов”».
«Атака была хорошо подготовлена, WannaCry нацелен на наиболее ценные для пользователей документы — электронную почту, ключи шифрования и сертификаты, электронные документы, архивы, базы данных. Как следствие, получился такой эффект, — указывает в свою очередь Антон Витвицкий, руководитель направления безопасности компании ITERBI. — Интересно, что заражение WannaCry происходит по так называемому SMB-протоколу, который обычно в домашних маршрутизаторах отключен по умолчанию, то есть злоумышленники явно целились на корпоративные сети».
Похищенное кибероружие
Но самое интересное и скандальное в содержании вредоносной программы WannaCry заключается в том, что «червь» в составе вируса, так умело проникающий на компьютеры жертв, оказался созданным силовыми структурами США. А точнее, подразделением радиотехнической и электронной разведки министерства обороны — Агентством национальной безопасности (АНБ).
Уже доказано и признано всеми специалистами, что в составе WannaCry находится программа EternaВlue, которая в свое время была создана специалистами АНБ. По сути, это кибероружие, которые американские военных создали, как мы можем предположить, для возможных атак на своих врагов. А потом это оружие непонятным образом было украдено хакерами: еще в начале апреля эта программа была выложена в свободный доступ хакерской группировкой под названием Shadow Brokers.
Червь EternaВlue использует «дыру» в защите операционной системы Windows от Microsoft. Об этой уязвимости представителям Microsoft было известно: еще в марте американский ИТ-гигант выпустил серию обновлений, призванную нейтрализовать эти уязвимости (так называемый патч MS17–010). Увы, это не смогло остановить эпидемию. Жертвами атаки стали те, кто не производит вовремя обновление своих программ на компьютере. Под ударом также оказались пользователи старых, уже официально не поддерживаемых Microsoft операционных систем (справедливости ради стоит отметить, что в разгар эпидемии Microsoft пошла на беспрецедентный шаг, выпустив обновления для продуктов с истекшим сроком поддержки — Windows XP, Windows Server 2003 и Windows 8). Кстати, компьютеров с такой уязвимостью оказалось больше всего в России (см. график), из-за чего наша страна считается наиболее пострадавшей от атаки WannaCry.
Прибыльный тип преступлений
Нельзя сказать, что кибератаки, вымогающие деньги у пользователей ПК, — неожиданная новость. Такой вид преступлений, как электронное вымогательство, известен давно, и серьезный подъем он пережил за последний год. По данным «Лаборатории Касперского», только за 2016 год количество новых модификаций программ-вымогателей выросло более чем в 11 раз, их число превысило 30 тысяч. Если в январе прошлого года такие кибератаки проводились на компании в среднем каждые две минуты, то к концу году — уже каждые 40 секунд, а на рядовых пользователей — каждые 10 секунд.
Столь бурному росту этого вида киберпреступлений способствует тот факт, что жертвы часто платят вымогателям, поскольку возможный ущерб от потери ценных данных оказывается значительно выше суммы выкупа.
Например, университет города Калгари в Канаде недавно признал, что заплатил около 16 тыс. долларов за восстановление электронных писем, которые были зашифрованы и оставались недоступными в течение недели. А в сентябре прошлого года хостинг-провайдер облачных сервисов VESK отдал почти 23 тыс. долларов в качестве выкупа, чтобы вернуть доступ к одной из своих систем. Иногда выкуп удается получать даже от полиции: полицейский участок в США, в штате Массачусетс, признал, что заплатил 500 долларов, чтобы вернуть важные данные по расследуемым делам. Почувствовав «золотую жилу», преступники самым циничным образом атакуют те учреждения, где информация имеет буквально жизненное значение. Например, больницы и медицинские учреждения, на которые атака была нацелена и в этот раз. При этом преступники нарушили все неписаные законы криминального мира: в большинстве случаев преступники, получая выкуп, все же высылают потом ключ для обратного восстановления данных. Однако вирус WannaCry нарушил эти «джентльменские» правила: зараженные пользователи, даже если и платили вымогателям, восстановить свои данные так и не смогли. «Среди жертв WannaCry не было зафиксировано ни одного эпизода дешифровки захваченных файлов. В большинстве случаев вымогательское ПО все-таки позволяет расшифровать файлы после уплаты выкупа. Анализ текущего кода WannaCry ставит под сомнение само существование такой возможности», — констатирует Сергей Невструев из Check Point Software Technologies.
Автор неизвестен
Преступников, совершивших кибератаку WannaCry, пока не обнаружили. Относительно того, кто стоит за этим актом, существуют много версий. Одни наблюдатели говорят, что за хакерами скрываются матерые преступники, которые расчетливо спланировали столь масштабную акцию. Другие предполагают, что авторами атаки вполне могла быть и неопытная молодая преступная группировка, что отражает тревожный тренд, заключающийся в том, что сейчас для совершения масштабной атаки вовсе не обязательно быть глубоким специалистом по взломам, так как ключевые элементы хакерских программ есть в свободном доступе в интернете — надо просто знать, как комбинировать эти преступные инструменты.
Понятно, что не обошлось без того, чтобы обвинить в этом российских хакеров: об этом написали некоторые британские СМИ. Но позже появилась более обоснованная версия о возможном связи создателей вируса с Северной Кореей. В частности, специалисты «Лабратории Касперского» указали, что ряд признаков, например, в написании кода говорит о том, что за кибератакой может стоять группа хакеров Lazarus, которая предположительно управляется из КНДР и которую подозревают в нашумевших кражах средств Центробанка Бангладеш в прошлом году и атаке на студию Sony.
Согласно сообщениям антивирусных компаний, атака WannaCry уже принесла преступникам порядка 80 тысяч долларов — такую сумму в мировой криптовалюте биткойн в общей сложности перечислили жертвы вируса. Вполне возможно, что на самом деле объем вырученных вымогателями средств может быть и больше, так как свои финансовые потоки мировые киберпреступники умело маскируют.
Мировое бессилие
Сейчас эпидемия WannaCry пошла на спад: по данным компании Check Point, атака этой программы на момент написания этой статьи составляет одну попытку каждые три секунды, в то время как несколько дней назад фиксировалась одна попытка в секунду. По числу пораженных компьютеров WannaCry не установила рекорда, в современной истории бывали случаи, когда вирусы поражали не сотни тысяч, а миллионы компьютеров. Однако по своей разрушительности и циничности (атака на медицинские учреждения, полный обман тех, кто заплатил за дешифровку) преступление WannaCry можно назвать самым громким.
Хотя крупные компании и государственные организации не объявили публично об убытках и ущербе от преступления (это можно объяснить тем, что такие признания крайне невыгодны, так как могут ударить по репутации). Однако стон рядовых пользователей, потерявших свои данные, который стоит на интернет-форумах, говорит о том, что WannaCry прокатился по планете подобно разрушительному цунами.
Для рядовых пользователей конкретные рекомендации, как защитить себя от подобных вирусов, есть. «Частные пользователи и компании могут защитить себя от подобных атак в будущем путем своевременного обновления операционной системы и программного обеспечения, а также используя антивирус на всех устройствах», — советует Ладислав Зезула, вирусный аналитик компании Avast.
Но более глобальные вопросы о причинах безнаказанного развития киберпреступности и способах борьбы с ней, увы, остаются открытыми. Конечно, есть вопросы к силовым структурам США. Каким образом такое опасное оружие, как программа EternaВlue, оказалось в свободном доступе? Как пишут некоторые интернет-пользователи, это все равно что оставить без присмотра ядерную бомбу в детской песочнице и потом хлопать глазами и делать вид, что ничего не произошло.
К сожалению, внятных объяснений насчет того, как и по чьей конкретно вине кибероружие попало в руки преступников, со стороны представителей американских спецслужб пока не последовало. Более того, гарантий, что другие типы кибербомб, созданных АНБ, не появятся в общественных местах, тоже нет. Уже сообщается, что хакеры выложили в интернет еще одну опасную разработку, украденную в АНБ, под названием EsteemAudit.
Есть вопросы и к производителям программного обеспечения. Почему такие мировые ИТ-гиганты все еще не могут справиться с уязвимостями своих продуктов, которым свою ценную информацию доверяют миллионы пользователей и компаний? Руководство Microsoft уже публично выразило досаду по поводу того, что вирус появился благодаря оплошности АБН. В своем блоге президент Microsoft Брэд Смит написал, что именно «украденные у Агентства национальной безопасности данные об уязвимостях создали проблемы для пользователей по всему миру». Однако специалисты указывают, что слишком уж много у таких компаний, как Microsoft, обнаруживается уязвимостей. Есть подозрения, что они связаны с «закладками», которые производители софта тайно делают для своих секретных целей.
Еще атака WannaCry наглядно продемонстрировала, что мировая правоохранительная система бессильна против киберпреступности, размах которой приобретает невиданные масштабы. Как уже писал «Эксперт», ущерб от кибератак в мире в этом году может превысить 1 трлн долларов (для сравнения: мировой оборот наркоторговли сейчас оценивается примерно в 500 млрд долларов в год). При этом раскрываются всего 3–4% киберпреступлений (см. «Идет кибервойна народная», «Эксперт» № 5 за 2017 год).
О том, что подобные атаки могут повторяться, причем в гораздо больших масштабах, говорит большинство специалистов. «Повторение таких атак вполне возможно. И если при подобной организованности со стороны хакеров будут использованы более изощренные методы, то новая атака может оказаться гораздо масштабнее и продолжительнее», — прогнозирует Денис Фокин, технический специалист компании Axoft.
Очевидно, что мировому сообществу срочно нужно налаживать диалог, совместно искать пути предотвращения киберугроз, последствия которых могут быть пострашнее иного теракта с использованием мощной бомбы. В следующий раз могут быть атакованы, например, поезда, люди не смогут совершать покупки из-за остановки ИТ-систем банков или ритейлеров. От чувствующих себя в безнаказанности грабителей без ножей и пистолетов пострадать может любой.