Открыть сервис

WannaCry

WannaCry — это вымогательское программное обеспечение (ransomware) и название глобальной кибератаки, произошедшей в мае 2017 года. Вредоносная программа шифровала файлы на компьютерах под управлением операционных систем Microsoft Windows и требовала выкуп в криптовалюте Bitcoin за их расшифровку. Атака затронула более 200 000 компьютеров в 150 странах, нанеся значительный экономический ущерб и нарушив работу ряда критически важных организаций, в первую очередь в сфере здравоохранения.

История

Обнаружение уязвимости и разработка эксплойта

Предпосылкой к появлению WannaCry стала уязвимость в протоколе Server Message Block (SMB) версии 1.0, используемом для общего доступа к файлам и принтерам в локальных сетях Windows. Данная уязвимость, получившая идентификатор CVE-2017-0144 (также известная как «EternalBlue»), была обнаружена и использовалась Агентством национальной безопасности США (АНБ) для собственных разведывательных целей. В апреле 2017 года группа хакеров, называющая себя «Shadow Brokers», опубликовала в открытом доступе набор инструментов и эксплойтов АНБ, включая EternalBlue. Это сделало уязвимость известной широкому кругу злоумышленников.

Хронология атаки (12–15 мая 2017 года)

Атака началась 12 мая 2017 года. Вредоносная программа распространялась двумя способами: через фишинговые письма с вредоносными вложениями и, что более важно, используя эксплойт EternalBlue для автоматического заражения других уязвимых компьютеров в одной сети без участия пользователя. Это обеспечило крайне высокую скорость распространения.

Ключевым моментом стало обнаружение британским исследователем в области кибербезопасности Маркусом Хатчинсом (работавшим под псевдонимом MalwareTech) домена-убийцы (kill switch) в коде вредоносной программы. Он зарегистрировал этот домен, что привело к остановке распространения первоначальной версии WannaCry. Однако позже появились модифицированные версии без этого механизма остановки.

Наиболее серьёзные последствия атака имела для Национальной службы здравоохранения Великобритании (NHS), где были заблокированы больничные информационные системы, что привело к отмене операций и приёма пациентов. Также пострадали компании Telefónica, FedEx, Deutsche Bahn, Министерство внутренних дел России и многие другие организации по всему миру.

Расследование и последствия

ФБР и другие правоохранительные органы приписали создание и распространение WannaCry группировке Lazarus Group, связанной с правительством Северной Кореи. В декабре 2017 года Министерство юстиции США официально обвинило северокорейского хакера Пак Чжин Хёка в причастности к атаке. Северная Корея отрицала свою причастность.

Инцидент привёл к массовому обновлению систем безопасности, особенно в государственных и медицинских учреждениях. Microsoft выпустила экстренные исправления безопасности для устаревших версий Windows, включая Windows XP и Windows Server 2003, поддержка которых уже была прекращена. Атака также подчеркнула опасность накопления правительствами уязвимостей «нулевого дня» для целей разведки, которые впоследствии могут быть использованы злоумышленниками.

Механизм работы

Способ заражения

Первоначальное заражение происходило двумя путями:

  1. Фишинг: Пользователь открывал вложение в электронном письме, которое запускало вредоносный скрипт.
  2. Сетевое распространение: После заражения одного компьютера в сети WannaCry сканировал локальную сеть и интернет на наличие других уязвимых систем с открытым портом SMB (445). Используя эксплойт EternalBlue, он отправлял специально сформированный пакет, который позволял выполнить код на удалённом компьютере без аутентификации.

Процесс шифрования

После запуска на компьютере жертвы WannaCry выполнял следующие действия:

  • Устанавливал соединение с командным сервером (C2) для получения ключа шифрования. Если соединение было невозможно (например, из-за блокировки домена-убийцы), программа использовала встроенный жёстко заданный ключ.
  • Шифровал файлы определённых типов (документы, изображения, базы данных, архивы и т.д.) с использованием алгоритмов AES и RSA. Исходные файлы удалялись.
  • Переименовывал зашифрованные файлы, добавляя к ним расширение .WNCRY.
  • Изменял обои рабочего стола на окно с требованием выкупа и создавал текстовые файлы с инструкциями по оплате.

Требование выкупа

На экране появлялось сообщение с требованием перевести 300 долларов США в биткоинах на указанный кошелёк. Сумма выкупа удваивалась до 600 долларов через три дня. В сообщении утверждалось, что в случае неоплаты в течение семи дней файлы будут уничтожены. Анализ показал, что механизм восстановления файлов после оплаты работал нестабильно, и многие жертвы не смогли вернуть свои данные даже после уплаты выкупа. Общая сумма, полученная злоумышленниками, составила около 130 000 долларов США (примерно 55 биткоинов).

Характеристики

Целевая платформа

WannaCry был нацелен исключительно на операционные системы Microsoft Windows. Уязвимыми оказались системы, на которых не было установлено обновление безопасности MS17-010, выпущенное Microsoft в марте 2017 года. Это затронуло как старые версии (Windows XP, Windows 8, Windows Server 2003), так и более новые (Windows 7, Windows Server 2008, Windows 10, если на них не было установлено обновление).

Классификация

WannaCry относится к классу вымогательского ПО (ransomware) — программе, которая ограничивает доступ к системе или данным пользователя и требует выкуп для восстановления доступа. По способу распространения его можно классифицировать как червь (worm), так как он способен к самораспространению по сети без участия человека.

Последствия и значение

Экономический ущерб

Общий экономический ущерб от атаки WannaCry оценивается в миллиарды долларов США. В него входят прямые потери от выплаты выкупа, затраты на восстановление систем, простой в работе организаций, а также репутационный ущерб. Наиболее пострадавшей отраслью стало здравоохранение: по оценкам, только NHS потеряла около 100 миллионов фунтов стерлингов.

Влияние на кибербезопасность

WannaCry стал поворотным моментом в понимании киберугроз как для государственных структур, так и для частного бизнеса. Он продемонстрировал:

  • Критическую важность своевременного обновления ПО: Атака была бы невозможна, если бы все организации установили выпущенное за два месяца до неё обновление.
  • Опасность уязвимостей «нулевого дня» в руках спецслужб: Публикация инструментов АНБ привела к массовому заражению, что вызвало дискуссию о необходимости раскрытия правительствами обнаруженных уязвимостей разработчикам.
  • Необходимость сегментации сетей: Распространение WannaCry внутри организаций было бы затруднено, если бы критически важные системы были изолированы от общей сети.

Правовые и политические последствия

Инцидент привёл к усилению международного сотрудничества в борьбе с киберпреступностью. В США были предъявлены обвинения конкретным лицам, что стало прецедентом. В России атака нанесла ущерб ряду ведомств, включая МВД и Следственный комитет, что подчеркнуло уязвимость государственных информационных систем. Атака также стимулировала принятие законов, ужесточающих требования к защите критической информационной инфраструктуры.

Интересные факты

  • Код WannaCry содержал функцию проверки домена-убийцы (kill switch). Если программа не могла связаться с этим доменом, она начинала шифрование. Это было сделано для того, чтобы затруднить анализ в изолированной среде (песочнице). Однако именно эта функция позволила исследователю остановить первую волну атаки.
  • Несмотря на глобальный масштаб, сумма полученного выкупа была относительно невелика. Это объясняется как нестабильной работой механизма расшифровки, так и тем, что многие жертвы не платили, опасаясь мошенничества.
  • WannaCry стал первой кибератакой, которая была напрямую приписана государственному субъекту (Северной Корее) на основании технических и разведывательных данных.

Источники

  • Отчёт Microsoft о кибератаке WannaCry (май 2017).
  • Бюллетень безопасности Microsoft MS17-010.
  • Аналитический отчёт Агентства кибербезопасности и защиты инфраструктуры США (CISA) по WannaCry.
  • Материалы Министерства юстиции США по делу о кибератаке WannaCry (декабрь 2017).
  • Публикации исследователей в области кибербезопасности (MalwareTech, Kaspersky Lab, Symantec).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →