WannaCry
Wana Decrypt0r screenshot.png
Снимок экрана Wana Decrypt0r 2.0
Тип

Сетевой червь, Ransomware, эксплойт

Год появления

12 мая 2017 года

Используемое ПО

уязвимость в SMB

Описание Symantec

Описание Лаборатории Касперского

WannaCry (также известна как WannaCrypt[1], WCry[2] и WanaCrypt0r 2.0[3][4] и Wanna Decryptor[5]) — вредоносная программа, сетевой червь и программа-вымогатель денежных средств, поражающая только компьютеры под управлением операционной системы Microsoft Windows. Её массовое распространение началось 12 мая 2017 года — одними из первых были атакованы компьютеры в Испании, а затем и в других странах. Среди них по количеству заражений лидируют Россия, Украина и Индия[6]. В общей сложности, от червя пострадало более 300 тысяч компьютеров[7], принадлежащих частным лицам, коммерческим организациям и правительственным учреждениям более чем 150 стран мира[8].

Содержание

Метод атакиПравить

Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar (англ.)[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор[9].

После запуска вредоносная программа действует как классическая программа-вымогатель: она генерирует уникальную для каждого инфицированного компьютера пару ключей асимметричного алгоритма RSA-2048. Затем, WannaCry начинает сканировать систему в поисках пользовательских файлов определённых типов, оставляя критические для дальнейшего её функционирования нетронутыми. Каждый отобранный файл шифруется по алгоритму AES-128-CBC уникальным (случайным) для каждого из них ключом, который в свою очередь шифруется открытым RSA-ключом инфицированной системы и сохраняется в заголовке зашифрованного файла. При этом к каждому зашифрованному файлу добавляется расширение .wncry. Пара RSA-ключей инфицированной системы шифруется открытым ключом злоумышленников и отправляется к ним на серверы управления, расположенные в сети Tor, после чего все ключи из памяти инфицированной машины удаляются. Завершив процесс шифрования, программа выводит на экран окно с требованием перевести определённую сумму в биткоинах (эквивалентную 300 долларам США) на указанный кошелёк в течение трёх дней. Если выкуп не поступит своевременно, то его сумма будет автоматически удвоена. На седьмой день, если WannaCry не будет удалён с инфицированной системы, зашифрованные файлы уничтожаются[10]. Сообщение выводится на языке, соответствующем установленному на компьютере. Всего программой поддерживается 28 языков. Параллельно с шифрованием программа проводит сканирование произвольных адресов Интернета и локальной сети для последующего заражения новых компьютеров[11][12].

Согласно исследованию компании Symantec, алгоритм отслеживания злоумышленниками индивидуальных выплат каждой жертвы и отправки ей ключа для расшифровки реализован с ошибкой состояния гонки. Это делает выплаты выкупа бессмысленными, поскольку индивидуальные ключи в любом случае не будут присланы, а файлы так и останутся зашифрованными. Однако существует надёжный метод расшифровать пользовательские файлы размером менее 200 МБ, а также некоторые шансы восстановить файлы большего размера. Кроме того, на устаревших системах Windows XP и Windows Server 2003 из-за особенностей реализации в системе алгоритма вычисления псевдослучайных чисел даже возможно восстановить закрытые RSA-ключи и расшифровать все пострадавшие файлы, если компьютер не перезагружался с момента заражения[13]. Позднее группа французских экспертов по кибербезопасности из компании Comae Technologies расширила эту возможность до Windows 7 и реализовала её на практике, опубликовав в открытом доступе утилиту WanaKiwi[14], позволяющую расшифровать файлы без выкупа[15][16].

В коде ранних версий программы был предусмотрен механизм самоуничтожения, так называемый Kill Switch (англ.)[10], — программа проверяла доступность двух определённых Интернет-доменов и в случае их наличия полностью удалялась из компьютера. Это 12 мая 2017 года первым обнаружил Маркус Хатчинс (англ.)[17], 22-летний вирусный аналитик британской компании Kryptos Logic, пишущий в Twitter’е под ником @MalwareTechBlog, и зарегистрировал один из доменов на своё имя. Таким образом, ему удалось временно частично[К 1] заблокировать распространение данной модификации вредоносной программы[18][19]. 14 мая был зарегистрирован и второй домен[10]. В последующих версиях вируса данный механизм самоотключения был удалён, однако это было сделано не в исходном программном коде, а путём редактирования исполняемого файла, что позволяет предпологать, происхождение данного исправления не от авторов оригинальной WannaCry, а от сторонних злоумышленников. В результате был поврежден механизм шифрования, и данная версия червя может только распространять себя, находя уязвимые компьютеры, но не способна наносить им непосредственный[К 2] вред[20].

Высокая скорость распространения WannaCry, уникальная для программы-вымогателя, обеспечивается использованием опубликованной в феврале 2017 года уязвимости сетевого протокола SMB операционной системы Microsoft Windows, описанной в бюллетене MS17-010[21]. Если в классической схеме программа-вымогатель попадала на компьютер благодаря действиям самого пользователя через электронную почту или веб-ссылку, то в случае WannaCry участие пользователя полностью исключено. Продолжительность времени между обнаружением уязвимого компьютера и полным его заражением составляет порядка 3 минут[11].

Компанией-разработчиком подтверждено наличие уязвимости абсолютно во всех пользовательских и серверных продуктах, имеющих реализацию протокола SMBv1 — начиная с Windows XP/Windows Server 2003 и заканчивая Windows 10/Windows Server 2016. 14 марта 2017 года Microsoft выпустила серию обновлений, призванных нейтрализовать уязвимость во всех поддерживаемых ОС[21]. После распространения WannaCry компания пошла на беспрецедентный шаг, выпустив 13 мая также обновления для продуктов с истекшим сроком поддержки (Windows XP, Windows Server 2003 и Windows 8).[22][23]

Ход событийПравить

12 мая 2017 года червь распространился по миру. Атаке подверглись многие страны, но больше всего инфицированных компьютеров в нескольких странах — на Украине, в России, Индии и Тайване[24][25][6].

Сначала были атакованы ПК в Испании в компаниях Telefónica, Gas Natural, Iberdrola, занимающейся поставкой электричества, Centro Nacional de Inteligencia, банке Santander и филиале консалтинговой компании KPMG. В Великобритании были инфицированы компьютеры в больницах (NHS trusts)[26], а в Испании — испанская телекоммуникационная компания «Telefónica», одна из крупнейших телефонных компаний в мире (четвертая по размеру количества абонентов). В Германии были инфицированы компьютеры Deutsche Bahn.

В России пострадали министерства (МВД России[27]), МегаФон[28]. Сообщения об успешных атаках на Сбербанк и МЧС были опровергнуты этими организациями[29]. Пострадали информационные системы РЖД, однако червь был быстро локализован и не повлиял на движение поездов[30]. Также Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (ФинЦЕРТ) сообщил, что были зафиксированы «единичные факты компрометации ресурсов кредитных организаций», но последствия этих инцидентов были устранены в кратчайшие сроки[31].

По состоянию на 13:20 13 мая, по данным сайта MalwareTech botnet tracker[32], инфицированы 131 233 компьютеров во всем мире, из них онлайн — 1145.

Renault остановил работу своих заводов, чтобы проверить свои ПК[33].

МВД России хотя сначала и опровергало заражение своей сети, позже подтвердило, что заражение произошло потому, что некоторые сотрудники ведомства подключались к интернету со своих компьютеров «посредством того или иного механизма»[34]. Ирина Волк, официальный представитель МВД России, заявила: «Серверные ресурсы МВД России не подвергались заражению благодаря использованию иных операционных систем и отечественных серверов с российским процессором „Эльбрус“»[35]. Количество заражённых ПК составило около 1000, что составляет около 1 % всего компьютерного парка[35]. В некоторых областях РФ отдельные подразделения МВД временно не работали[36].

По данным Европола, по состоянию на 15 мая, WannaCry заразил порядка 200 тысяч компьютеров в более чем 150 странах мира[8]. Однако прибыль от атаки для злоумышленников оказалась относительно небольшой: к этому времени на указанные биткоин-кошельки было проведено всего лишь 110 транзакций на общую сумму около 23,5 биткоина (примерно 42 тысячи долларов США)[37]. В этот же день, выступая на пресс-конференции, президент В. В. Путин, назвал ущерб для страны от всемирной кибератаки незначительным[38].

На 17 мая 2017 г., по мнению компании Symantec, источник и способ первоначального распространения WannaCry неизвестен. Высказанные ранее мнения о том, что атака началась путём рассылки вредоносных сообщений электронной почты, не нашли подтверждения[10].

На Тайване от вируса пострадала государственная энергетическая компания «Тайвань дяньли», больница в Синьбэе и торговая компания в Тайчжуне, а также 10 учебных заведений (59 компьютеров) и 226 правительственных компьютеров[39]. Однако вымогатели отметили, что их кампания на Тайване провалилась, потому что они «во многом переоценили» средний доход тайваньцев[40].

По состоянию на 19 мая 2017 г., на счета злоумышленников было совершенно 291 переводов на общую сумму 92 880 долларов США[41].

По состоянию на 21 мая 2017 г., по данным сайта MalwareTech Botnet Tracker, инфицированы 303 706 компьютеров во всем мире, из них онлайн — 102 549[7].

Авторство программыПравить

14 мая президент и главный юрисконсульт компании Microsoft Брэд Смит заявил, что данный вирус использовал уязвимость, информация о которой была украдена у Агентства национальной безопасности США[42][43].

Позднее, 15 мая президент РФ Владимир Путин напомнил об этих словах руководства Microsoft, назвав спецслужбы США «первичным источником вируса», и заявил, что «Россия здесь совершенно ни при чём»[44][45]. В то же время секретарь Совета безопасности РФ Николай Патрушев заявил об отсутствии доказательств того, что спецслужбы каких-либо стран причастны к массовому распространению по всему миру вируса WannaCry. По его словам, если бы за хакерской атакой стояли спецслужбы, её последствия «были бы значительно более серьёзные». Однако он признал, что в нападении участвовали высококвалифицированные специалисты.[46]

Атака стала возможной благодаря наличию уязвимости в реализации компании Microsoft сетевого протокола SMB[21]. Уязвимость некоторое время была известна Агентству национальной безопасности США и имела реализацию в виде готового инструмента для проведения атаки EternalBlue. Данный инструмент, в числе многих, попал в распоряжение хакерской группы The Shadow Brokers (англ.), который был опубликован ею в свободном доступе 14 апреля 2017 года[47][4][48][49][50]. По данным WikiLeaks, изначально EternalBlue был разработан хакерской группой Equation Group, которая была связана с АНБ, а затем выкраден The Shadow Brokers[51].

Специалисты Лаборатории Касперского и антивирусной компании Symantec, основываясь на опубликованном исследователем из Google Нилом Мехтой твите, обратили внимание, что сигнатуры кода WannaCry совпадают с сигнатурой кода, предположительно, использовавшегося в феврале 2015 года хакерской группой Lazarus Group (англ.)[52][53], подозреваемой в связях с правительством КНДР. Этой группе приписывается проведение множества громких компьютерных атак 2012—2014 годов, включая атаку на банковскую инфраструктуру SWIFT и взлом серверов Sony Pictures Entertainment[54]. Эту гипотезу на основании собственного исследования подтвердил эксперт южнокорейской компании «Hauri Labs» Саймон Чой (Simon Choi), являющийся советником южнокорейской полиции и Национального агентства разведки. По его словам, код вируса совпадает с северокорейскими вредоносными кодами, использующими программные уязвимости[55].

В то же время, по заявлениям Лаборатории Касперского и Symantec, пока ещё преждевременно делать выводы о том, замешана ли Северная Корея в атаках. Джон Миллер, эксперт компании «FireEye Inc», специализирующейся на кибербезопасности, заявил, что сходства, обнаруженные в кодах вируса WannaCry и группировки Lazarus, недостаточно уникальны, чтобы можно было делать выводы об их происхождении из общего источника[55]. Также фрагменты кода Lazarus Group могли быть преднамеренно использованы другой группой с целью запутать следствие и помешать выявить настоящего злоумышленника[53]. Официальный представитель Европола Ян Оп Ген Орт также отметил, что Европол пока не может подтвердить информацию о причастности КНДР[56]. Заместитель постоянного представителя КНДР при ООН Ким Ин Рен заявил: «Что касается кибератаки, увязывать её с КНДР смехотворно»[57].

КомментарииПравить

  1. Это, однако, не спасло от поражения компьютеры, доступ в Интернет которых подвергается жёсткой фильтрации (как, например, в некоторых корпоративных сетях). WannaCry в таком случае не находит Kill Switch, заблокированный политикой Интернет-доступа, и продолжает своё вредоносное действие[9].
  2. Тем не менее, модифицированный WannaCry делает зараженную машину ещё более уязвимой к другим угрозам, использующим бэкдор DoublePulsar.

ПримечанияПравить

  1. Customer Guidance for WannaCrypt attacks. Microsoft.
  2. ВСЕСВІТНЯ КІБЕРАТАКА: ВІРУС ОХОПИВ КОМ'ЮТЕРИ З WINDOWS, ЯКІ НЕ ОНОВИЛИСЯ - ЗМІ. Проверено 13 травня 2017.
  3. Avast reports on WanaCrypt0r 2.0 ransomware that infected NHS and Telefonica.. Avast Security News. Avast Software, Inc (12 May 2017).
  4. 1 2 Fox-Brewster, Thomas. An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak, Forbes.
  5. Woollaston, Victoria. Wanna Decryptor: what is the 'atom bomb of ransomware' behind the NHS attack? (en-GB), WIRED UK.
  6. 1 2 GReAT. WannaCry ransomware used in widespread attacks all over the world - Securelist. Лаборатория Касперского (12-5-2017). Проверено 13 мая 2017.
  7. 1 2 MalwareTech Botnet Tracker: WCRYPT, MalwareTech botnet tracker
  8. 1 2 Глава Европола сообщил о 200 тыс. пострадавших от глобальной кибератаки. Interfax (15 мая 2017 года). Проверено 16 мая 2017.
  9. 1 2 3 Zammis Clark. The worm that spreads WanaCrypt0r (англ.). Malwarebytes (12 мая 2017 года). Проверено 17 мая 2017.
  10. 1 2 3 4 Ransom.Wannacry. Symantec. Проверено 17 мая 2017.
  11. 1 2 Анализ шифровальщика Wana Decrypt0r 2.0. Habrahabr (14 мая 2017 года). Проверено 16 мая 2017.
  12. Player 3 Has Entered the Game: Say Hello to 'WannaCry' (12 мая 2017 года). Проверено 16 мая 2017.
  13. Can files locked by WannaCry be decrypted: A technical analysis (15 мая 2017 года). Проверено 17 мая 2017.
  14. Suiche, Matthieu WannaCry — Decrypting files with WanaKiwi + Demos. Comae Technologies (19 May 2017). Проверено 22 мая 2017.
  15. Auchard, Eric French researchers find way to unlock WannaCry without ransom. Reuters (19 May 2017). Проверено 19 мая 2017.
  16. Во Франции нашли способ обойти вирус-вымогатель WannaCry // Комсомольская правда, 20.05.2017
  17. 'Just doing my bit': The 22yo who blocked the WannaCry cyberattack (en-AU), ABC News (16 мая 2017).
  18. Вирус Wanna Cry случайно остановил бдительный программист, Взгляд, 13 мая 2017
  19. Эпидемия шифровальщика WannaCry: что произошло и как защититься
  20. rain-1. WannaCry/WannaDecrypt0r NSA-Cyberweapon-Powered Ransomware Worm. Github.com (22 May 2017). Проверено 22 мая 2017.
  21. 1 2 3 Microsoft Security Bulletin MS17-010
  22. Surur. Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003 (13 мая 2017). Проверено 13 мая 2017.
  23. MSRC Team Customer Guidance for WannaCrypt attacks. microsoft.com. Проверено 13 мая 2017.
  24. Сошников, Андрей. WannaCry: как работает крупнейшее компьютерное вымогательство. «Русская служба Би-би-си» (13 мая 2017). Проверено 14 мая 2017. Архивировано 13 мая 2017 года.
  25. Масштабна хакерська атака вивела з ладу десятки тисяч комп'ютерів по всьому світу. Проверено 12 травня 2017.
  26. Hern, Alex. What is 'WanaCrypt0r 2.0' ransomware and why is it attacking the NHS?, The Guardian (12 мая 2017). Проверено 12 мая 2017.
  27. Вирус-вымогатель заразил компьютеры МВД России и компании «Мегафон»
  28. У РОСІЇ МАСШТАБНИЙ ВІРУС-ВИМАГАЧ АТАКУВАВ КОМП’ЮТЕРИ МІНІСТЕРСТВ, «СБЕРБАНКА» І «МЕГАФОНА», ТСН, 13 травня 2016
  29. МЧС и Сбербанк успешно отразили кибератаки WannaCry, НТВ, 12 мая 2017 г.
  30. В РЖД заявили об отсутствии сбоев в работе компании из-за вирусной атаки // Интерфакс, 13.05.2017
  31. Об атаке вируса Wannacry // «ФинЦЕРТ» Банка России, 19.05.2017
  32. MalwareTech Botnet Tracker: WCRYPT, MalwareTech botnet tracker
  33. Renault остановил несколько заводов после кибератаки // Газета, 13 мая 2017
  34. WannaCry поразил МВД, потому что полицейские нелегально подключались к интернету
  35. 1 2 Российский процессор «Эльбрус» спас серверы МВД от вируса-вымогателя, атаковавшего компьютеры по всему миру
  36. В регионах из-за кибератаки управления ГИБДД прекратили выдавать права
  37. Создатели вируса WannaCry получили в качестве выкупа $42 тысячи. Interfax (15 мая 2017 года). Проверено 16 мая 2017.
  38. Путин назвал ущерб от всемирной кибератаки для России незначительным // Риа Новости, 15.05.2017
  39. Вирус WannaCry атаковал 10 учебных заведений на Тайване (ru-RU), Новости Тайваня (17 мая 2017). Проверено 17 мая 2017.
  40. Хакеры разблокировали компьютер тайваньца от WannaCry (ru-RU), Новости Тайваня (15 мая 2017). Проверено 17 мая 2017.
  41. @actual_ransom tweets. Twitter. Проверено 19 мая 2017.
  42. The need for urgent collective action to keep people safe online: Lessons from last week’s cyberattack - Microsoft on the Issues (en-US), Microsoft on the Issues (14 мая 2017). Проверено 16 мая 2017.
  43. Биржевой лидер. Правительства и спецслужбы виновны в атаке вируса WannaCry – Microsoft (ru-RU). www.profi-forex.org. Проверено 16 мая 2017.
  44. Путин: первичным источником мировой кибератаки являются спецслужбы США, Газета.Ru. Проверено 16 мая 2017.
  45. Владимир Путин назвал спецслужбы США источником вируса WannaCry // Коммерсант.ru, 15.05.2017
  46. Патрушев отказался возложить вину за атаку вируса WannaCry на спецслужбы // Lenta.ru, 16.05.2017
  47. NSA-leaking Shadow Brokers just dumped its most damaging release yet. Проверено 13 мая 2017.
  48. An NSA-derived ransomware worm is shutting down computers worldwide. Ars Technica. Проверено 13 мая 2017.
  49. Ghosh, Agamoni. 'President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools, International Business Times UK (April 9, 2017).
  50. 'NSA malware' released by Shadow Brokers hacker group (en-GB), BBC News (April 10, 2017).
  51. Президент Microsoft рассказал о связи разработок АНБ с недавней кибератакой. Interfax (15 мая 2017 года). Проверено 17 мая 2017.
  52. GReAT. WannaCry and Lazarus Group – the missing link?. Securelist (15 мая 2017 года). Проверено 17 мая 2017.
  53. 1 2 WannaCry ransomware has links to North Korea, cybersecurity experts say // The Guardian, 15.05.2017
  54. Cyber security firm: more evidence North Korea linked to Bangladesh heist. Рейтер (3 апреля 2017 года). Проверено 17 мая 2017.
  55. 1 2 Researchers see possible North Korea link to global cyber attack
  56. Европол не может подтвердить, что вирус WannaCry был создан в КНДР // РИА Новости, 16.05.2017
  57. КНДР считает смехотворными заявления о причастности к мировой кибератаке // Известия, 19.05.2017

СсылкиПравить