Доброе утро, Вьетнам: WannaCry продолжает заражать десятки тысяч устройств

Опубликовано at 06.06.2019
76 0

Через два года после охватившей кибермир эпидемии WannaCry,  казалось бы, эта угроз уходит в туманный архив истории. Однако шифровальщик никуда не делся, и в 2019 году до сих пор присутствует на многих устройствах, сохраняя способность распространяться по сети и подвергая жертв риску других вредоносных атак. Насколько многих?

За первые полгода 2019 года исследователи из компании Armis насчитали 145 тыс. зараженных устройств в 103 странах (любопытно, что 10% из них – во Въетнаме, подробности ниже). Распространение WannaCry в настоящее время осуществляется с помощью эксплойта EternalBlue к уязвимости CVE-2017-0144 в широко используемой SMB-службе Windows. Из-за этой особенности зловред, несмотря на доступность патча, за короткий срок сумел поразить полмиллиона машин в 150 странах.

Как хорошо известно читателям АКБ, эпидемия была приостановлена на неопределенный срок с помощью kill switch — заданного в коде зловреда домена-выключателя, который участникам ИБ-сообщества удалось зарегистрировать и обеспечить надежной защитой от DDoS-атак. При обращении к этому «рубильнику» резидентный вымогатель прекращает свою активность.

Следует отметить, что данный способ сдерживания работает только в применении к первоначальной версии WannaCry – со временем его авторы обновили код и продолжили вредоносную деятельность, хотя и не в прежнем объеме (т.н. WannaCry 2). Живой пример тому – прошлогодняя атака на тайваньского производителя полупроводников TSMC, когда под удар попали сразу несколько предприятий компании.

Немного экспертных цифр:

По данным спецпоисковика Shodan на май 2019 года, атаки WannaCry могут угрожать 1,7 млн компьютеров. Согласно декабрьскому отчету компании Kryptos Logic, каждую неделю фиксируется свыше 17 млн попыток подключения к домену-«выключателю» вируса, исходящих от более чем 630 тысяч уникальных IP-адресов в 194 странах. По данным «Лаборатории Касперского», в III квартале 2018 года на WannaCry пришлось 29% (75 тысяч инцидентов) всех атак зловредов-вымогателей – на 12% больше, чем в аналогичный период прошлого года.  Исследование, проведенное в Armis, показало, что зловред продолжает сохранять свое присутствие и даже пытается расселяться на 60% промышленных предприятий и в 40% медицинских учреждений, а также в сетях розничной торговли. В этих сферах, по словам экспертов, используется специализированное оборудование со встроенной Windows, которое сложно обновлять, а апгрейд выливается в накладные простои.

На основании анализа DNS-трафика на предмет обращений к домену kill switch, эксперты Armis пришли к выводу, что уязвимые системы до сих пор заражает первоначальная версия шифровальщика (запрашивающая kill switch). Среди стран по количеству атак WannaCry лидируют США, Вьетнам и Турция – в каждой эксперты еженедельно фиксировали свыше 100 тыс. обращений к домену-выключателю. Россия заняла в этом списке 8-е место с показателем 50 тыс.

Любопытно, что на долю скромного Вьетнама пришлось более 10% атак вымогателя: дело в том, что интернет-провайдеры этой страны блокируют попытки соединения с kill switch, и инфекция там распространяется быстро.

Домен-выключатель работает до сих пор. Хотя в настоящий момент ИБ-сообщество обеспечило сайту защищенный хостинг с защитой от DDoS-атак, чтобы преступники не смогли вывести его в оффлайн (по крайней мере, обычными методами). Но если какой-либо форс-мажор сделает ресурс недоступным, зловредный код на всех зараженных компьютерах вновь перейдет в боевой режим.

Историческая справка:

12 мая 2017 года полмиллиона компьютеров по всему миру подверглось атаке вирусом WannaCry, который требует перечисления денег за снятие блокировки с операционной системы. Наибольшее число кибератак (предположительно) северокорейским вирусом наблюдалось в России, где целью преступников стали компьютеры МВД, Сбербанка, Минздрава, «Мегафона» и ряда других крупных организаций и ведомств. В Великобритании из-за массового заражения персональных компьютеров была нарушена работа 40 больничных учреждений. Программист-вундеркинд Маркус Хатчинс получил известность после того, как случайно обнаружил способ остановить WannaCry, зарегистрировав домен с очень длинным названием.

Читайте также другие материалы на АКБ про WannaCry как потенциальную угрозу для современного интернета:

Одолевшему WannaCry вундеркинду грозит 10 лет тюрьмы за создание вирусов

WannaCry на производстве в 2019-м: да, это реальность для устаревших систем

Хорошо забытое вирусное: как WannaCry может стать бомбой, что взорвет интернет в 2019-м

«Лаборатория Касперского»: WannaCry живей всех живых

Подписываемся, следим @CyberAgency

Related Post

Спецслужбы РФ отразили хакерские атаки на ЦИК

Опубликовано - 19.03.2018 0
Нанести ощутимый вред хакеры не смогли 18 марта с 2 до 5 часов ночи была отражена хакерская атака на сайт ЦИК. Источники атаки были расположены в 15 странах. Об этом сообщила глава ЦИК Элла Памфилова. По словам секретаря ЦИК…

Пользователям Facebook нужно быть внимательнее

Опубликовано - 25.12.2017 0
Остерегайтесь вируса, распространяющегося через мессенджер Фейсбука. Он использует мощность вашего компьютера для майнинга, — предупреждают исследователи безопасности из Trend Micro.…

Firefox заблокировал браузерную дактилоскопию

Опубликовано - 01.11.2017 0
Firefox скоро предоставит пользователям систему с повышенным уровнем конфиденциальности, в которой будет заблокировано использование браузерной индентификации, выполняемой через элемент канвас…