Что такое программа-вымогатель WannaCry?
Программа-вымогатель WannaCry может шифровать файлы, папки и приложения, делая их недоступными до уплаты «выкупа». Количество атак программ-вымогателей на коммерческие предприятия постоянно растет, как и их масштабы. Узнайте, кто создал WannaCry, как это ПО заражает сети и как защитить свои системы от подобных атак.
Как происходит атака программы-вымогателя WannaCry?
WannaCry — это тип программ-вымогателей. Такие вредоносные программы шифруют данные (отдельные файлы или целые компьютерные системы) и требуют выкуп за их расшифровку. WannaCry заражает устройства, используя уязвимость в ПО Windows. Это уже стало причиной огромного финансового и репутационного ущерба.
Программа WannaCry разработана на основе эксплойта с кодовым названием EternalBlue, украденного у Агентства национальной безопасности (АНБ) США хакерской группировкой The Shadow Brokers. Она использовала эксплойт, чтобы атаковать операционные системы Windows устаревшей версии или без установленных исправлений. Компания Microsoft выпускала исправления, чтобы защитить свое ПО, но многие организации не устанавливали эти обновления, что позволило хакерам воспользоваться уязвимостями и выполнить атаку.
12 мая 2017 года произошла одна из крупнейших на данный момент атак программы-вымогателя WannaCry. Она затронула более 230 000 компьютеров с ОС Windows в более чем 150 странах всего за день, повлияв на работу частного бизнеса, государственных и медицинских учреждений. Среди известных пострадавших компаний оказались Telefonica, Deutsche Bahn, LATAM Airlines Group, FedEx, а также автомобильные компании Hitachi, Renault и Honda.
Национальная служба здравоохранения (National Health Service, NHS) Великобритании стала одной из множества медицинских организаций, затронутых атакой, так как на ее компьютеры с ОС Windows не были установлены необходимые исправления. В результате множество систем оказалось зашифровано и недоступно. Атака нанесла по всему миру ущерб на миллиарды долларов и стала одним из самых серьезных случаев применения программ-вымогателей на данный момент.
Программа-вымогатель WannaCry в конечном счете была остановлена специалистом по кибербезопасности Маркусом Хатчинсом (Marcus Hutchins). В том же месяце он разработал имя домена, эффективно пресекшее распространение вредоносной программы и предотвращающее попытки его удаления.
Многие компании осознали важность установки исправлений, но у злоумышленников остается множество способов добраться до корпоративных систем. Есть несколько причин, по которым программы-вымогатели остаются серьезной угрозой.
- Они могут нанести огромный финансовый и репутационный ущерб.
- Средний простой компаний после атаки программы-вымогателя составляет 21 день.
- Они могут помешать соблюдению требований и привести к дальнейшим неблагоприятным последствиям для компании.
Кто создал WannaCry?
Группа The Shadow Brokers похитила эксплойт EternalBlue у АНБ, но код был доработан и превращен в оружие другими хакерскими организациями. Правительства Великобритании и США заявляли, что за WannaCry стоит северокорейская хакерская группировка Lazarus Group.
В феврале 2021 года Министерство юстиции США подтвердило, что за создание и распространение программы-вымогателя WannaCry, вымогательство денег у жертв и похищение конфиденциальных данных несут ответственность трое северокорейских программистов.
Как WannaCry заражает сети?
Программа-вымогатель WannaCry ищет уязвимости в операционных системах Windows, используя код эксплойта EternalBlue. Это включает обращение к протоколу блока сообщений сервера (Server Message Block, SMB), позволяющему пользователям получать доступ к общим файлам и службам, шифрование файлов и дальнейшее требование выкупа. Все напоминает программу-вымогатель Phobos — более старое ПО, которое искало незащищенные порты протокола удаленного рабочего стола (Remote Desktop Protocol, RDP).
При атаке WannaCry эксплойт отправляет код запроса проверки связи SMB Echo целевому протоколу SMB, который используется устройствами с Microsoft Windows. Если ответа на запрос нет, создается бэкдор (путь в систему без аутентификации и авторизации).
Хакеры используют инструмент для работы с бэкдорами DoublePulsar, чтобы запустить программу-вымогатель WannaCry и установить подключение, позволяющее получать информацию или отправлять в систему вредоносные программы, такие как WannaCry.
Этот инструмент позволяет хакерам организовать подключение между протоколами SMB (порт TCP 445) или RDP (порт TCP 3389) и устанавливает асинхронный процедурный вызов (Asynchronous Procedure Call, APC). Такой шаг дает инструменту возможность отправить DLL в службу подсистемы локального управления безопасностью (Local Security Authority Subsystem Service, Lsass.exe), отвечающую за политики безопасности операционной системы Windows, например за смену паролей и служб аутентификации, а также за репликацию программ. После этого в такие системы отправляется код-оболочка (так называемое «распыление кучи»), а существующий код бэкдора можно устранить.
Когда программа-вымогатель WannaCry попадает на устройство, она использует свои качества червя, чтобы просканировать сеть на наличие других устройств с подобным неисправленным или устаревшим ПО или уязвимостями, и реплицирует свой вредоносный код на эти устройства.
В отличие от многих других типов атак программ-вымогателей, WannaCry заявляет о себе предельно открыто, отображая сообщение, похожее на пример ниже, и требуя выкупа.
Когда устройства заражены, единственным способом получить доступ к своим файлам остается внешняя копия файлов и папок (если она есть) или уплата выкупа. Но второе делать не рекомендуется, поскольку нет никаких гарантий, что доступ к операционным системам действительно вернется.
Исправления Windows
После атак программы-вымогателя WannaCry в 2017 г. компания Microsoft разработала срочные исправления системы безопасности для всех своих систем Windows, включая Windows XP, Windows Vista, Windows 8 и более ранние версии Windows Server. Компания заявила, что пользователи были бы защищены, если бы не отключали автоматические обновления. Клиентам, настроившим обновление вручную, рекомендовалось как можно скорее установить исправление.
Атаки программ-вымогателей постоянно развиваются, становятся все чаще и сложнее. Данные Института национальной безопасности показывают, что средняя сумма выкупа выросла с 5000 долларов США в 2018 году до примерно 200 000 долларов в 2020 году. В 2021 году одна страховая компания заплатила выкуп в размере 40 млн долларов, установив новый мировой рекорд среди платежей программам-вымогателям.
Вредоносные программы остаются для киберпреступников прибыльным бизнесом, и лишь к немногим разновидностям такого ПО опубликованы ключи дешифровки. Это означает, что удалить программу-вымогателя с ПК и связанных устройств очень сложно, а восстановить свои файлы может оказаться невозможно (даже если ваша компания заплатит выкуп). Поэтому крайне важно предпринимать ключевые действия, чтобы предотвратить атаки программ-вымогателей (например, устанавливать исправления для своего ПО) и обезопасить свою компанию от будущих кибератак.
Действует ли WannaCry до сих пор?
Инструменту для пресечения атаки WannaCry удалось остановить ее в 2017 году, а компания Microsoft выпустила исправление, чтобы обезопасить уязвимые операционные системы от эксплойта EternalBlue, но эта программа-вымогатель остается действующей угрозой.
WannaCry до сих пор получает обновления от хакерских группировок и остается серьезной угрозой для бизнеса. Новейшие разновидности программ-вымогателей, такие как Petya и NotPetya, были вдохновлены WannaCry и обладают подобными возможностями для поиска той же уязвимости в приложениях для Windows. Доля организаций, подвергшихся атакам программ-вымогателей по всему миру, также выросла с 55,1 % в 2018 году до 68,5 % в 2021 году.
Учитывая огромное количество угроз в сфере кибербезопасности, установка инструментов для защиты от программ-вымогателей имеет фундаментальное значение.
Как предотвратить атаку программ-вымогателей
Активные действия по предотвращению атак программ-вымогателей на вашу компанию — ключевое условие для обеспечения безопасности своих цифровых активов.
- Комплексные регулярные проверки сетей. Профилактические проверки деловой активности должны включать оценку уязвимостей со сканированием сети, подключенных устройств и приложений на наличие каких-либо уязвимостей в программном обеспечении, способных привести к атаке или утечке данных.
- Обучение грамотности в вопросах кибербезопасности. Стратегии защиты должны включать обучение вопросам кибербезопасности. Сотрудники должны узнавать о распространенных направлениях атак, включая письма из незнакомых источников, фишинг и вложения, которые могут содержать вредоносное ПО, называемое троянами.
- Политика использования паролей. Внедрение политики использования паролей должно стимулировать сотрудников применять надежные пароли, способные оградить организацию от внешних угроз, а также соблюдать контроль доступа на основе ролей для защиты данных и конфиденциальных файлов.
- Обновление операционных систем и приложений. Предотвращение угроз, способных затронуть ваш бизнес, и защита важных файлов и приложений имеют первостепенное значение. В частности, это касается регулярного обновления систем и развертывания инструментов, автоматически исправляющих любые уязвимости программ.
Обезопасьте себя от атак программы-вымогателя WannaCry
С 2017 года компания Avast заблокировала более 170 млн атак программы-вымогателя WannaCry. Узнайте, как наши решения для малого бизнеса могут обеспечить защиту вашей компании с помощью простых, но эффективных инструментов, ограждая устройства и данные от вредоносных программ, фишинга, программ-вымогателей и других передовых кибератак.
© Gen Digital Inc., 2024.