«Лаборатория Касперского» в пятницу зафиксировала 45 тыс. хакерских атак по всему миру с использованием вируса-шифровальщика, получившего название WannaCry (Wanna Decryptor), причем наибольшее число попыток заражений произошло в России. Атаке подверглись компьютеры крупнейших компаний и федеральных министерств, в том числе Сбербанка, «Мегафона», МВД и МЧС.
Злоумышленники воспользовались шпионским программным обеспечением, которое использовало Агентство национальной безопасности (АНБ) США. Экс-сотрудник американских спецслужб Эдвард Сноуден, комментируя информацию о сбоях из-за хакеров в больницах Великобритании, отметил, что созданные АНБ инструменты для атаки на программное обеспечение сейчас угрожают жизням пациентов.
Шифровальщик-вымогатель
По данным «Лаборатории Касперского», хакеры пытались атаковать компьютеры с операционной системой (ОС) Windows в 74 странах. «Как показал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010. Затем на зараженную систему устанавливался руткит, используя который злоумышленники запускали программу-шифровальщик», — сказали в компании. За расшифровку данных злоумышленники требуют заплатить $600 в криптовалюте Bitcoin.
Компания Group-IB, которая занимается предотвращением и расследованием киберпреступлений, определила четыре особенности вируса, который использовали для атаки. Первая заключается в том, что программа «использует эксплоит ETERNALBLUE, который был выложен в открытый доступ хакерами Shadow Brokers», сказали в Group-IB. Эта уязвимость была закрыта для ОС Windows Vista и старше в обновлении от 9 марта, а патча для старых ОС (в том числе Windows XP и Windows server 2003) не будет, так как они выведены из-под поддержки.
По данным Group-IB, второй особенностью WannaCry является способность не только шифровать файлы, но и сканировать сеть на предмет уязвимости. «Если зараженный компьютер попал в какую-то другую сеть, вредоносное ПО распространится и в ней тоже — отсюда и лавинообразный характер заражений», — объяснили в компании.
Еще одной особенностью вируса является его избирательность — он шифрует не все файлы, а только наиболее «чувствительные» (документы, базы данных, почту). Четвертая особенность WannaCry заключается в том, что для подключения к командным серверам программа устанавливает браузер Tor (обеспечивает анонимность в интернете) и осуществляет соединение через него.
Больницы под ударом
От вирусной атаки пострадали не менее 40 организаций Национальной системы здравоохранения (NHS) Великобритании, включая больницы, поликлиники и фонды здравоохранения, что привело к отмене в этих медучреждениях приема амбулаторных больных, нарушениям в работе службы скорой помощи и, как утверждают СМИ, даже сбою в проведении запланированных хирургических операций.
«Мы осведомлены о том, что многие организации Национальной системы здравоохранения сообщили о том, что они пострадали от атаки вируса-вымогателя. Но ее целью не была NHS, это международная атака, от которой пострадали многие страны и организации», — подчеркнула премьер-министр Великобритании Тереза Мэй, находящаяся с предвыборной поездкой на северо-востоке Англии.
«У меня нет никаких свидетельств того, что сохранность базы данных пациентов оказалась под угрозой», — добавила Мэй.
Подверглась атаке и внутренняя сеть испанской телекоммуникационной компании Telefonica. Об этом сообщила газета El Mundo. По ее информации, атака парализовала работу значительного числа работников компании, в том числе тех, кто трудится в штаб-квартире в Мадриде.
При этом в Telefonica подчеркнули, что действия хакеров не повлияли на работу крупного оператора связи Movistar, клиенты которого могут продолжать совершать звонки и пользоваться мобильным интернетом.
МВД отбило атаку
Вирусной атаке в пятницу подверглись персональные компьютеры под управлением операционной системы Windows в МВД РФ. Как сообщила ТАСС официальный представитель ведомства Ирина Волк, было блокировано порядка тысячи зараженных компьютеров. По словам Волк, серверные ресурсы ведомства не пострадали благодаря использованию других операционных систем и отечественных серверов с российским процессором «Эльбрус».
«В настоящее время выявленная активность вируса локализована. Утечки служебной информации с информационных ресурсов МВД России не допущено» — сказала она.
Источник в полиции сообщил ТАСС, что Единая система информационно-аналитического обеспечения деятельности МВД, которая обеспечивает взаимодействие всех подразделений МВД с другими госорганами, не подверглась взлому.
МЧС России в пятницу также зафиксировало несколько попыток вирусных атак на компьютеры министерства, но все они были успешно отражены. «Заражению не подвергся ни один компьютер. Все интернет-ресурсы МЧС России работают в штатном режиме», — подчеркнул представитель МЧС.
Минздрав РФ тоже смог успешно отразить вирусные атаки, сообщил помощник министра здравоохранения Никита Одинцов. «Сообщаю, что @MINZDRAV_RF (Минздрав РФ — прим. ТАСС) оперативно отразил начавшиеся атаки и закрыл уязвимости», — написал он в своем Twitter.
Оператору «Мегафон» пришлось из-за вирусной атаки отключить часть компьютерной сети, при этом на качестве связи кибератака никак не сказалась, сообщил директор «Мегафона» по связям с общественностью Петр Лидов. «Никакой утечки личных данных не было, угрозы такой нет. Абонентам волноваться не о чем. На абонентов ни с точки зрения связи, ни с точки зрения данных никакого влияния», — подчеркнул он в эфире телеканала «Россия 24».
Сбербанк также зафиксировал попытки атаки на инфраструктуру банка, однако проникновения в систему не произошло. «Системы информационной безопасности своевременно зафиксировали попытки проникновения в инфраструктуру банка. Сеть банка предусматривает защиту от подобных атак. Проникновения вирусов в систему не произошло», — сообщили в пресс-службе Сбербанка.
Советник президента РФ по интернету Герман Клименко считает, что компьютерный вирус не принесет больших экономических потерь. «Кто-то пострадает, но не уверен, что в денежном исчислении какие-то будут катастрофы. Может, будет утечка каких-то данных, но говорить о том, что от этого пострадает экономика, не стоит», — отметил Клименко в эфире телеканала РБК.
По его словам, за хакерской атакой стоит обычная жажда наживы. «Это не военная операция, а классическая алчность. Единственный способ борьбы — компьютерная грамотность», — пояснил советник президента.
Рожденный в АНБ
Организовавшие кибератаки по всему миру хакеры воспользовались шпионским программным обеспечением, которое якобы применяло Агентство национальной безопасности США (АНБ). Об этом сообщила американская газета Politico.
По ее данным, злоумышленники, требующие выкуп за восстановление работы компьютеров, использовали шпионское ПО, которое ранее распространила группа хакеров, выступающая под псевдонимом Shadow Brokers. Они утверждали, что получили доступ к программам, разработанным АНБ.
В свою очередь бывший сотрудник американских спецслужб Эдвард Сноуден написал в Twitter, что «решение АНБ создать инструменты для атаки на американское программное обеспечение сейчас угрожает жизни пациентов в больницах». «Несмотря на предупреждения, АНБ создало опасные инструменты для проведения атак, которые могут поражать западное программное обеспечение, сегодня мы видим, чего это стоило», — добавил он.
«В свете сегодняшней атаки Конгресс (США — прим. ТАСС) должен спросить у АНБ, известно ли ему о других уязвимостях в программном обеспечении, которое используется в наших больницах», — считает Сноуден.
Эдвард Сноуден — бывший сотрудник ЦРУ США, работавший также в частной компании, выполнявшей заказы АНБ. В 2013 году он предал огласке сведения о методах электронной слежки американских спецслужб. Спасаясь от преследования со стороны США, Сноуден получил вид на жительство в РФ на три года и с тех пор находится на территории России.
Как защититься
Как отметили в Group-IB, хакеры используют программы-шифровальщики для атак все чаще. «В 2016 году количество таких атак увеличилось более чем в сто раз по сравнению с предыдущим годом», — сообщили в компании.
Чаще всего заражение подобными вирусами происходит через электронную почту. «Пользователь сам скачивает и открывает вредоносный файл, умело представленный злоумышленниками, как письмо от контакта, которому он доверяет (так называемая социальная инженерия). Либо это действительно может быть ящик его знакомого или партнера, заранее скомпрометированный преступниками», — отметили в Group-IB.
Защититься от подобных атак можно, используя решения класса «песочница»: такие решения устанавливаются в сеть организации для проверки всех файлов, приходящих на почту сотрудникам или скачиваемых ими из интернета.
«Также важно проводить с сотрудниками разъяснительные беседы об основах цифровой гигиены — недопустимости устанавливать программы из непроверенных источников, вставлять в компьютер неизвестные флэшки и переходить по сомнительным ссылкам, вовремя обновлять ПО и не использовать ОС, которые не поддерживаются производителем», — отметили в компании.
Чтобы снизить риски заражения вирусом, в «Лаборатории Касперского» рекомендуют установить официальный патч от Microsoft, который закрывает используемую в атаке уязвимость и убедиться, что включены защитные решения на всех узлах сети.
В компании также рекомендуют использовать сервисы информирования об угрозах, чтобы своевременно получать данные о наиболее опасных атаках и возможных заражениях.