Распространение вредоносного программного обеспечения WannaCry, атаковавшего 12 мая компьютеры по всему миру, было приостановлено экспертом по компьютерной безопасности, пишет The Guardian.
«Случайный герой» просто зарегистрировал доменное имя за несколько долларов, что позволило выиграть время для защиты от дальнейшего распространения вируса, отмечает издание.
Специалист по кибербезопасности, известный в твиттере под ником @malwaretechblog, с помощью коллеги Дариена Хусса обнаружил, что вредоносная программа обращается с запросом по незарегистрированному адресу, состоящему из набора символов — iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Соответствующий доменный адрес был куплен пользователем за $10,69, после чего доменное имя стало регистрировать тысячи запросов каждую секунду.
При этом отмечается, что кибератака продолжится, как только хакеры изменят код в вирусе.
Как это работает
В кибератаке использовалась вредоносная программа-вымогатель WannaCry, которая шифрует или блокирует на нем все файлы и данные, предлагая заплатить за дешифровку выкуп, выраженный в криптовалюте — биткоинах.
«За расшифровку данных злоумышленники требуют заплатить выкуп в размере $600 в криптовалюте Bitcoin», — рассказывает представитель «Лаборатории Касперского». По текущему курсу $600 — это больше 34 тыс. рублей.
Тип вредоносного программного обеспечения, заражающего компьютер и ограничивающего доступ к нему до оплаты средств, известен как Ransomware. Эта программа активируется и атакует компьютер после того, как пользователь открывает письмо со спамом.
Специалисты, анализировавшие атаку, пришли к выводу, что хакеры использовали модифицированную программу Агентства национальной безопасности (АНБ) США — разработанный американскими шпионами электронный инструментарий Eternal Blue, скрещенный с программой-вымогателем WannaCry.
Экс-сотрудник Агентства национальной безопасности (АНБ) США Эдвард Сноуден прокомментировал информацию в соцсетях: «Ого: решение АНБ о создании средств атаки против американского программного обеспечения в настоящее время угрожает жизни пациентов в больницах», — написал Сноуден в твиттере.
В министерстве промышленности Испании, откуда стали поступать одни из первых сообщений об атаках, говорят, что в основном атакам подверглись компьютеры, на которых установлена операционная система Windows.
«При эксплуатации уязвимости запускается сетевой шифратор, и расшифровка файлов практически невозможна. Способ защититься от этого вируса — обновить ОС», — сказал «Газете.Ru» Виталий Земских, руководитель отдела поддержки продаж ESET Russia.
Что вообще произошло
Хакерская атака началась во второй половине 12 мая. Одной из первых структур, сообщивших об атаке, стала Национальная служба здравоохранения Великобритании (NHS). «В связи с подозрениями в общенациональной кибератаке мы принимаем все предупреждающие меры, чтобы защитить местные системы и серверы NHS», — сообщалось в твиттере организации.
Вскоре о нападении киберпреступников сообщали уже власти Испании, заявляя, что заражению компьютерных систем подверглись некоторые испанские компании, «симптом» был все тот же — вредоносная программа вымогала у потерпевших деньги. Вскоре всемирный масштаб атаки был очевиден.
К 20.00 (мск) 12 мая сообщения о заражении поступали уже и из других стран — США, Китая, России, Вьетнама и Тайваня. Всего через час «Лаборатория Касперского» зафиксировала уже около 45 тыс. попыток заражения программой-шифровальщиком в 74 странах по всему миру.
Как отметили в компании, наибольшее число попыток заражений наблюдается в России.
Как это было в России
Вечером 12 мая стали поступать сообщения о том, что хакеры атаковали компьютеры, подключенные к внутренним сетям СК и МВД. Эту же информацию подтвердил источник «Газеты.Ru» в силовых структурах.
«Атаке подверглись компьютеры по всей России. Вирус блокирует экран компьютера и шифрует файлы на жестком диске», — рассказывал собеседник «Газеты.Ru».
Об атаках на МВД сообщали и в регионах — компьютеры полицейских в разных районах Калужской области подверглись нападению, о чем сообщал местный сайт «НГ-Регион». «Хакеры вывели из строя компьютеры МВД во всех районах области. В тех компьютерах, что были подключены к сети, произошла зашифровка файлов. Работа правоохранительных органов встала. За расшифровку файлов хакеры потребовали денег», — говорится в сообщении.
На протяжении всего этого времени в пресс-центре МВД «Газете.Ru» факт хакерской атаки опровергли. «Идут плановые работы на внутреннем контуре», — уточнили в МВД.
Однако позже факт попыток совершить атаки на компьютеры МВД в ведомстве признали. Официальный представитель министерства Ирина Волк заявила, что департамент информационных технологий, связи и защиты информации при министерстве зафиксировал кибератаку на компьютеры ведомства, передает РИА «Новости». Она подчеркнула, что проблемы были зафиксированы на небольшом количестве компьютеров — около 1%.
После того как в МВД заявили об успешном предотвращении атаки, подобные сообщения появились и от остальных правительственных ведомств — МЧС, Минздрава, а также РЖД и ГИБДД.
Реакция и последствия
Министерство внутренней безопасности США заявило о готовности оказать техническую поддержку и помощь в борьбе с программой-вымогателем WannaCry. Ведомство заявило, что еще в марте был выпущен патч, предназначенный для устранения уязвимости перед вирусом. Установка патча помогает защитить операционную систему от этой угрозы, сообщили в министерстве.
Также в министерстве добавили, что его сотрудники — профессионалы в области кибербезопасности, которые могут предоставить экспертную помощь критически важным объектам инфраструктуры.
Европейское полицейское агентство (Европол) сообщило, что уже занимается этим делом. Управление по борьбе с киберпреступностью Европола сотрудничает с аналогичными подразделениями в пострадавших странах для «смягчения угрозы и оказания помощи жертвам».
Многие пользователи сети уже обвинили в произошедшем «русских хакеров», эту версию начинают распространять и некоторые СМИ.
Британское издание The Telegraph заявило, что масштабные атаки хакеров, произошедшие накануне, могут быть связаны с российским правительством.
Издание отмечает, что с инцидентом могут быть связаны недавние предупреждения группировки Shadow Brokers в адрес президента США Дональда Трампа после одобренных им ракетных ударов в Сирии.
«Есть мнение, что это указывает на связь Shadow Brokers с российским правительством», — сообщает газета.
Вместе с тем, судя по имеющейся информации, именно Россия пострадала от действий кибермошенников больше, чем любая другая страна мира.