В пятницу, 12 мая 2017 года мир узнал, почему нельзя откладывать обновления операционной системы Windows.
Всего за несколько часов вымогатели заблокировали сотни тысяч компьютеров по всему миру, используя уязвимость Windows, патч к которой вышел двумя месяцами ранее. От злоумышленников пострадали частные пользователи и крупные предприятия, государственные организации и телекоммуникационные компании.
Это была первая в истории глобальная эпидемия шифровальщика, которая в результате поменяла подходы к информационной безопасности и у компаний, и у обычных пользователей.
Киберспециалисты по всему миру стали разбирать код зловреда, чтобы найти слабое место. В субботу, на второй день атаки эти усилия принесли плоды: 22-летний Маркус Хатчинс (Marcus Hutchins) под ником MalwareTech обнаружил в программе набор символов, похожий на интернет-адрес. Не найдя такой страницы в Сети, он зарегистрировал домен, куда стали поступать тысячи запросов в секунду. Оказалось, что это «выключатель» вируса, оставленный создателями для контроля за его распространением.
Находка Хатчинса позволила приостановить проникновение WannaCry в США. Однако уже через несколько часов код был изменен, и атака продолжилась. Исследователи смогли еще дважды найти новый «выключатель», пока с очередным обновлением злоумышленники не убрали этот компонент из кода.
Особенность атаки WannaCry в том, что зловред распространялся фактически без участия пользователя. Он использовал уязвимость протокола Windows SMB под условным названием EternalBlue, которая незадолго до эпидемии утекла из арсенала Агентства национальной безопасности США. Компьютерное сообщество познакомилось с этим эксплойтом благодаря хакерской группе Shadow Broker. Эта организация к тому времени уже отметилась несколькими взломами NSA.
EternalBlue позволяла злоумышленнику получить удаленный доступ к системе и запустить на ней произвольный код. Никаких подозрительных email-вложений и кликов по сомнительным ссылкам – достаточно включить компьютер, и вскоре на экране появляется сообщение от вымогателей. Вирус тем временем распространяется по другим компьютерам в сети со скоростью до сотен машин в минуту.
Эпидемия WannaCry стала громким событием на фоне появления программ-вымогателей, которые в то время начали набирать обороты. Платформы Ransomware-as-a-Service позволяют любому пользователю взять этот софт в аренду за небольшую комиссию разработчикам. В результате если в 2012 году на сделку с вымогателями шли только 3% пострадавших, то пять лет спустя эта цифра приблизилась к 50%.
Создатели WannaCry проявили более умеренные аппетиты по сравнению с другими группировками вымогателей и не требовали у жертв по несколько тысяч долларов. Стоит отметить, что транзакции каждого отдельного BTC-кошелька открыты для просмотра, поэтому исследователям было известно, что за первые дни эпидемии на кошельки, указанные в сообщениях вымогателей, поступило около $33000. К июню 2017 года сумма выросла до $80000. Для сравнения, ущерб от шифровальщика оценивается в несколько миллиардов долларов.
Спустя два года после эпидемии WannaCry оставался в дремлющем виде на сотнях тысяч машин — об этом говорит анализ обращений к домену-блокировщику, который был зарегистрирован вскоре после первых атак. В конце 2018 года эксперты сообщали, что за неделю этот сайт получает по 17 млн запросов с более чем 630 тыс. IP-адресов, распределенных почти по 200 странам. Количество обращений увеличивалось в рабочие часы, когда пользователи включают зараженные компьютеры.
Специалисты говорили, что зараженными остаются компьютеры в забытых и неиспользуемых сетевых сегментах, которыми никто не занимается. Однако непропатченная уязвимость EternalBlue продолжала приводить к серьезным инцидентам.
Например, в начале мая 2019 года из-за атаки шифровальщика вышли из строя компьютерные системы городской администрации Балтимора. Сбой вызвал новый шифровальщик на тогдашней арене вымогательского ПО RobbinHood: он заблокировал 10 тыс. персональных компьютеров, добрался до одной из систем контроля ЖКХ, вывел в офлайн базу штрафов за парковку и местный реестр с 1,5 тыс. сделок с недвижимостью. Граждане в одночасье потеряли возможность оплачивать коммунальные счета, приобретать дома, отправлять администрации электронные письма. Сотрудники муниципалитета потеряли доступ к электронной почте и были вынуждены перейти на работу из дома.
По мнению экспертов ИБ, атака не была направленной и операторы зловреда наткнулись на балтиморскую администрацию при сканировании интернета. Позже мэр города Бернард Янг (Bernard Young) сообщил на пресс-конференции, что злоумышленники попали в инфраструктуру с помощью эксплойта EternalBlue. Журналисты не преминули поехидствовать о том, как американские граждане, уже давшие АНБ деньги на создание EternalBlue, теперь оплачивают и ликвидацию последствий.
На сегодняшнем ландшафте киберугроз шифровальщики уже не занимают такое заметное место. Однако это связано не столько со снижением активности, сколько с пропавшим эффектом новизны: что было новостью в конце десятых, к 2025 году стало привычным.
В корпоративных инфраструктурах остаются незакрытыми старые уязвимости, legacy-системы и незащищенные сегменты. Атаки становятся более частыми и изощренными, а в архивах спецслужб еще наверняка много секретов, которые могут попасть в неправильные руки. И если вы планировали аудит защищенности или пентест, не откладывайте проект в долгий ящик.
Всего за несколько часов вымогатели заблокировали сотни тысяч компьютеров по всему миру, используя уязвимость Windows, патч к которой вышел двумя месяцами ранее. От злоумышленников пострадали частные пользователи и крупные предприятия, государственные организации и телекоммуникационные компании.
Это была первая в истории глобальная эпидемия шифровальщика, которая в результате поменяла подходы к информационной безопасности и у компаний, и у обычных пользователей.
Уязвимость MS17-010
Microsoft в марте 2017 года устранила уязвимость в серии обновлений MS17-010. Дальнейшие события показали, как много системных администраторов и рядовых пользователей пренебрегли апдейтом. В результате уже в первые часы атаки эксперты ИБ назвали ее самым массовым P2P-заражением в истории. Среди зараженных организаций – 45 госпиталей в Великобритании, телекоммуникационные компании в Испании и Португалии. Пострадали и российские компании.Киберспециалисты по всему миру стали разбирать код зловреда, чтобы найти слабое место. В субботу, на второй день атаки эти усилия принесли плоды: 22-летний Маркус Хатчинс (Marcus Hutchins) под ником MalwareTech обнаружил в программе набор символов, похожий на интернет-адрес. Не найдя такой страницы в Сети, он зарегистрировал домен, куда стали поступать тысячи запросов в секунду. Оказалось, что это «выключатель» вируса, оставленный создателями для контроля за его распространением.
Находка Хатчинса позволила приостановить проникновение WannaCry в США. Однако уже через несколько часов код был изменен, и атака продолжилась. Исследователи смогли еще дважды найти новый «выключатель», пока с очередным обновлением злоумышленники не убрали этот компонент из кода.
Почему WannaCry смог заразить весь мир
Вирус шифровал содержимое жесткого диска, предлагая пользователю в трехдневный срок перечислить около $300 в биткоинах (BTC). На четвертый день сумма выкупа удваивалась, а через неделю после заражения зашифрованные файлы уничтожались.Особенность атаки WannaCry в том, что зловред распространялся фактически без участия пользователя. Он использовал уязвимость протокола Windows SMB под условным названием EternalBlue, которая незадолго до эпидемии утекла из арсенала Агентства национальной безопасности США. Компьютерное сообщество познакомилось с этим эксплойтом благодаря хакерской группе Shadow Broker. Эта организация к тому времени уже отметилась несколькими взломами NSA.
EternalBlue позволяла злоумышленнику получить удаленный доступ к системе и запустить на ней произвольный код. Никаких подозрительных email-вложений и кликов по сомнительным ссылкам – достаточно включить компьютер, и вскоре на экране появляется сообщение от вымогателей. Вирус тем временем распространяется по другим компьютерам в сети со скоростью до сотен машин в минуту.
Эпидемия WannaCry стала громким событием на фоне появления программ-вымогателей, которые в то время начали набирать обороты. Платформы Ransomware-as-a-Service позволяют любому пользователю взять этот софт в аренду за небольшую комиссию разработчикам. В результате если в 2012 году на сделку с вымогателями шли только 3% пострадавших, то пять лет спустя эта цифра приблизилась к 50%.
Создатели WannaCry проявили более умеренные аппетиты по сравнению с другими группировками вымогателей и не требовали у жертв по несколько тысяч долларов. Стоит отметить, что транзакции каждого отдельного BTC-кошелька открыты для просмотра, поэтому исследователям было известно, что за первые дни эпидемии на кошельки, указанные в сообщениях вымогателей, поступило около $33000. К июню 2017 года сумма выросла до $80000. Для сравнения, ущерб от шифровальщика оценивается в несколько миллиардов долларов.
Вялотекущая эпидемия
Казалось бы, атака WannaCry должна была разделить историю на «до» и «после», стать назиданием для всех пользователей, которые раз за разом закрывают уведомление об очередном апдейте. По оценкам Malwarebytes, только в 2019 году WannaCry поразил по 90 тыс. компьютеров в Индии и Малайзии, еще 95 тыс. жертв — в Индонезии.Спустя два года после эпидемии WannaCry оставался в дремлющем виде на сотнях тысяч машин — об этом говорит анализ обращений к домену-блокировщику, который был зарегистрирован вскоре после первых атак. В конце 2018 года эксперты сообщали, что за неделю этот сайт получает по 17 млн запросов с более чем 630 тыс. IP-адресов, распределенных почти по 200 странам. Количество обращений увеличивалось в рабочие часы, когда пользователи включают зараженные компьютеры.
Специалисты говорили, что зараженными остаются компьютеры в забытых и неиспользуемых сетевых сегментах, которыми никто не занимается. Однако непропатченная уязвимость EternalBlue продолжала приводить к серьезным инцидентам.
Например, в начале мая 2019 года из-за атаки шифровальщика вышли из строя компьютерные системы городской администрации Балтимора. Сбой вызвал новый шифровальщик на тогдашней арене вымогательского ПО RobbinHood: он заблокировал 10 тыс. персональных компьютеров, добрался до одной из систем контроля ЖКХ, вывел в офлайн базу штрафов за парковку и местный реестр с 1,5 тыс. сделок с недвижимостью. Граждане в одночасье потеряли возможность оплачивать коммунальные счета, приобретать дома, отправлять администрации электронные письма. Сотрудники муниципалитета потеряли доступ к электронной почте и были вынуждены перейти на работу из дома.
По мнению экспертов ИБ, атака не была направленной и операторы зловреда наткнулись на балтиморскую администрацию при сканировании интернета. Позже мэр города Бернард Янг (Bernard Young) сообщил на пресс-конференции, что злоумышленники попали в инфраструктуру с помощью эксплойта EternalBlue. Журналисты не преминули поехидствовать о том, как американские граждане, уже давшие АНБ деньги на создание EternalBlue, теперь оплачивают и ликвидацию последствий.
Опыт, сын ошибок трудных
Произошедшее стало испытанием для ИТ-служб, которым пришлось отвечать на множество неприятных вопросов. Почему не поставили патч? Когда в последний раз делали резервную копию данных? Есть ли способ не платить выкуп? Еще раз, почему не поставили патч?На сегодняшнем ландшафте киберугроз шифровальщики уже не занимают такое заметное место. Однако это связано не столько со снижением активности, сколько с пропавшим эффектом новизны: что было новостью в конце десятых, к 2025 году стало привычным.
В корпоративных инфраструктурах остаются незакрытыми старые уязвимости, legacy-системы и незащищенные сегменты. Атаки становятся более частыми и изощренными, а в архивах спецслужб еще наверняка много секретов, которые могут попасть в неправильные руки. И если вы планировали аудит защищенности или пентест, не откладывайте проект в долгий ящик.
