Казалось бы, легендарное творение северокорейских кулибиных, вирус-шифровальщик WannaCry, уже относится не то, что к прошлому, а к мифам и легендам (с эпидемии прошло два года, вечность по меркам сети). Однако это не так. Напомним, как это было, и почему стало резко актуально сейчас.
12 мая 2017 года полмиллиона компьютеров по всему миру подверглось атаке вирусом WannaCry, который требует перечисления денег за снятие блокировки с операционной системы. Наибольшее число кибератак (предположительно) северокорейским вирусом наблюдалось в России, где целью преступников стали компьютеры МВД, Сбербанка, Минздрава, «Мегафона» и ряда других крупных организаций и ведомств. В Великобритании из-за массового заражения персональных компьютеров была нарушена работа 40 больничных учреждений.
Британский программист Маркус Хатчинс получил известность после того, как случайно обнаружил способ остановить WannaCry, зарегистрировав домен с очень длинным названием. Это стало началом конца эпидемии. Как сообщало ранее АКБ, в 2018 самому Хатчинсу были предъявлены обвинения – в создании сразу двух вирусов-вымогателей, банковского трояна Kronos и вредоноса UPAS Kit. Но это уже совсем другая история.
Домен-выключатель работает до сих пор. В настоящий момент ИБ-сообщество обеспечило сайту защищенный хостинг с защитой от DDoS-атак, чтобы преступники не смогли вывести его в оффлайн (по крайней мере, обычными методами). Но если какой-либо форс-мажор сделает ресурс недоступным, зловредный код на всех зараженных компьютерах вновь перейдет в боевой режим. Предположим, что подобное произойдет в 2019 году. Чем это грозит?
Согласно декабрьскому отчету компании Kryptos Logic, каждую неделю фиксируется свыше 17 млн попыток подключения к домену-«выключателю», исходящих от более чем 630 тысяч уникальных IP-адресов в 194 странах. По числу попыток подключения лидируют Китай, Индонезия, Вьетнам, Индия и Россия. В рабочие дни количество попыток возрастает по сравнению с выходными. И это не только персональные компьютеры, но и, например, АСУ ТП. Или канатные дороги.
Эти сотни тысяч (даже скорее миллионы) машин остались заражены первой версией вредоноса, которая продолжала обращаться к killswitch-домену за сигналом к атаке. Присутствие вымогателя на столь большом количестве компьютеров может обернуться серьезной проблемой – для его активации достаточно одного масштабного сбоя в Сети, подчеркивают специалисты. Домен-выключатель преступники оставили как лазейку, чтобы при необходимости остановить эпидемию. Положить домен – и для сети это будет эффект атомной бомбы.
Через некоторое время после находки авторы вируса обновили код WannaCry, и атаки продолжились (обозначим это как WannaCry 2) . Однако на те компьютеры, чьи администраторы успели закрыть уязвимость EternalBlue, доработанный шифровальщик WannaCry 2 проникнуть не смог.
Среди самых громких атак последнего времени — появление WannaCry 2 на компьютерах авиастроительной корпорации Boeing, когда существовала серьезная угроза проникновения его в системы функционального тестирования и управления самолетами. Пронесло — вирус удалось быстро локализовать. Повезет ли в следующий раз?
