Накануне по планете прокатилась очередная волна заражений компьютерным вирусом-шифровальщиком, который делает невозможным использование данных и пользование компьютером. За расшифровку зловред требует 300 долларов, которые должны быть заплачены в биткойнах. Несмотря на то, что от вируса пострадали некоторые крупные европейские (и некрупные латвийские) компании, например, Maersk, основной удар пришелся на Украину.
В частности, на Украине от вируса пострадали государственные организации, банки, аэропорты, частные компании. Из-за него управление системой безопасности Чернобыльской АЭС пришлось перевести на ручной режим.
В России от нового вируса пострадали компьютеры компании "Роснефть" и ряда других менее крупных организаций. В Европе заражения констатированы в Дании, Великобритании, Германии, Франции, у нас и в соседней Литве. Однако нигде речь не идет о масштабах, сопоставимых с уроном на Украине.
Пока специалисты еще работают с вирусом и до конца выясняют его механизмы распространения, но на этот час уже достаточно достоверно известно довольно многое. И можно с довольно высокой долей уверенности говорить о нескольких вещах.
Он вам не Petya и не WannaCry, но близкий родственник
Первые сообщения о том, что Украину атаковал известный вирус-шифровальщик Petya не подтвердились. По данным "Лаборатории Касперского", мир имеет дело не с Petya и не с его вариациями, а с чем-то абсолютно новым. Компания Talos, которая выполнила самый подробный на этот час анализ зловреда, назвала его Nyetya.
В частности, для первого заражения новый зловред использует ровно тот же механизм, что и WannaCry — эксплоит EternalBlue, лежащий в основе кибер-оружия из арсенала американских спецслужб, который "утек" в Сеть и доступен любым хакерам. Это лишняя демонстрация того, как опасно позволять спецслужбам иметь "ключи от всех мессенджеров" или "хакерские программы" — как только они их теряют, инструменты попадают на черный хакерский рынок и начинают использоваться преступниками.
EternalBlue использует уязвимость в ОС Microsoft Windows, которую сама компания закрыла еще несколько месяцев назад. Это значит, что, как и в случае с WannaCry, жертвы Nyetya опять сами виноваты.
Что делает Nyetya особо опасным, так это то, что для распространения внутри компьютерной сети организации он использует Psexec и WMI (Windows Management Instrumentation), два штатных инструмента, которые применяются в рутинной работе сетевых администраторов. С их помощью, например, внутри организации распространяются обновления для программного обеспечения. Они редко когда блокируются и мониторятся не только самими администраторами сетей, но и антивирусами и прочими специальными средствами защиты.
То есть, стоило в организации заразиться одной машине, как инфицированный компьютер моментально заражал всех, до кого мог дотянуться в компьютерной сети. Но почему пострадала именно Украина? И как злоумышленникам удалось заражать эти "машины-агенты"? Ведь никто добровольно себе вирус на машину не поставит... или?!
Почему пострадала Украина, или Как хакеры нашли свой "Святой Грааль
Пока ни одна антивирусная компания и ни один специалист не может со 100-процентной уверенностью назвать все механизмы заражения Nyetya, но разные источники говорят о, как минимум, двух фактах.
Во-первых, в отличие от WannaCry, атака не осуществлялась через электронную почту. То есть хакеры на этот раз исключили человеческий фактор — никто ни на что не кликал, никто не запускал то, что запускать был не должен.
Во-вторых, по крайней мере один из путей распространения Nyetya — украинская программа MeDoc, которую в стране используют для "общения" с налоговой, а за ее пределами — для работы с украинскими госструктурами и бизнесом. Об этом говорят как Talos, так и украинская киберполиция, хотя сама компания все обвинения отрицает. Впрочем, в комментариях к последней записи на Facebook немало рассерженных пользователей оставляют сообщения вида "на машине ничего не стояло, кроме вас — и она заражена!".
По мнению специалистов, вирус мог быть внедрен в одно из обновлений MeDoс, возможно, то, что распространялось неделю назад. Апдейты MeDoс ставились автоматически, без участия пользователей, так что и заражение произошло автоматически. В "час X" вирус просто включился и принялся за работу.
Вполне возможно, что и создали ее украинские хакеры, причем они оказались дилетантами в плане "работы с клиентами". Обычно авторы вирусов-шифровальщиков для связи с жертвами используют: а)много биткойн-кошельков и б)не обычную электропочту, а каналы связи в "темном интернете" Tor. В данном случае и кошелек один, и для связи предлагалось использовать почту, зарегистрированную в одной немецкой компании. В итоге компания заблокировала адрес хакеров, так что они лишились возможности общаться со своими жертвами. А жертвы — получить код для разблокирования компьютеров.
Некоторые специалисты предполагают, что Nyetya — "проба пера" некой хакерской группировки. Они сумели получить доступ к обновлениям MeDoс и подумали: "а почему бы и нет?!". Ведь для любого хакера заражение апдейтов популярной программы — это настоящий Святой Грааль. Люди и компании верят им, сами их ставят, практически добровольно становятся жертвами, причем об этом не подозревают.
Впрочем, хакеры хакерами, а что нас больше всего поражает в новой вирусной истории, так это то, что многие компании продолжают демонстрировать фантастическую беспечность. Когда специалисты по безопасности говорили, а журналисты писали про WannaCry, то все предупреждали: продолжение обязательно последует, уж очень "сладкая" уязвимость EternalBlue, хакеры так просто ее не бросят. Все, что было нужно сделать, чтобы оно не последовало — установить заплатки для Windows. Бесплатные и легкодоступные, для всех ОС, включая даже давно оставленную богом и Microsoft Windows XP. Но все равно нашлись те, кто не услышал, не поверил, не подумал, не понял и — как следствие — не поставил. Злобные ли хакеры в этом виноваты?
