Добавить новость
Атака без границ: организации в десятках стран пострадали от вируса-вымогателя WannaCry
Шрифт:
danilov 13 Мая 2017 в 11:17:15
Ссылки на обновления системы
В пятницу по всему миру прошла волна хакерских атак с использованием программы ransomware WanaCrypt0r 2.0 (WannaCry). По данным «Лаборатории Касперского», хакеры произвели более 45 тыс. попыток заражения различных систем в 74 странах. Целями злоумышленников, вымогавших выкуп за доступ к зашифрованным вирусом файлам, стали, в частности, медучреждения в Великобритании, испанская телекоммуникационная компания Telefonica, американский почтовый гигант FedEx, российские Сбербанк, «МегаФон» а также МВД и МЧС России.
Десятки тысяч компьютеров в 74 странах были заражены 12 мая вирусом-шифровальщиком WanaCrypt0r 2.0 (также обозначается как WannaCry). Вредоносная программа, требующая для разблокировки выкуп в размере $600 в криптовалюте биткоин, поразил компьютерные системы крупных организаций по всему миру, в том числе и российских ведомств.
Первыми о масштабном распространении вируса сообщили программисты из команды MalwareHunterTeam, опубликовавшие соответствующее сообщение ещё в 04:00 12 мая.
«Ransomware-вирус WanaCrypt0r 2.0 чертовски быстро распространяется», — сообщила группа. Согласно их данным больше всего атак по состоянию на утро пятницы наблюдалось в России, на Тайване и в Испании.
В пятницу по всему миру прошла волна хакерских атак с использованием программы ransomware WanaCrypt0r 2.0 (WannaCry). По данным «Лаборатории Касперского», хакеры произвели более 45 тыс. попыток заражения различных систем в 74 странах. Целями злоумышленников, вымогавших выкуп за доступ к зашифрованным вирусом файлам, стали, в частности, медучреждения в Великобритании, испанская телекоммуникационная компания Telefonica, американский почтовый гигант FedEx, российские Сбербанк, «МегаФон» а также МВД и МЧС России.
Десятки тысяч компьютеров в 74 странах были заражены 12 мая вирусом-шифровальщиком WanaCrypt0r 2.0 (также обозначается как WannaCry). Вредоносная программа, требующая для разблокировки выкуп в размере $600 в криптовалюте биткоин, поразил компьютерные системы крупных организаций по всему миру, в том числе и российских ведомств.
Первыми о масштабном распространении вируса сообщили программисты из команды MalwareHunterTeam, опубликовавшие соответствующее сообщение ещё в 04:00 12 мая.
«Ransomware-вирус WanaCrypt0r 2.0 чертовски быстро распространяется», — сообщила группа. Согласно их данным больше всего атак по состоянию на утро пятницы наблюдалось в России, на Тайване и в Испании.
К вечеру пятницы в ряде СМИ появилась информация, что хакерам удалось заразить компьютерные сети Национальной системы здравоохранения Великобритании, в результате чего была временно нарушена работа 25 медицинских учреждений в Англии и Шотландии. Из Испании сообщения о кибератаках с применением вируса WannaCry поступили от телекоммуникационной компании Telefonica, банка Iberica, энергокомпании Iberdrola и Gas Natural. Об атаках на свои компьютеры сообщил и американский почтовый гигант FedEx.
Инструмент АНБ
Некоторые эксперты указали на метод распространения вируса с помощью «дыры» в безопасности системы Windows. Об этом заявила, в частности, группа The Shadow Brokers, которая также сообщила, что выложила в свободный доступ хакерские программы, украденные у Агентства национальной безопасности США. О том, что данная атака была проведена с помощью программ, разработанных в недрах АНБ, заявил и бывший сотрудник ведомства Эдвард Сноуден.
«Ого: решение АНБ создавать инструменты атаки против американского программного обеспечения теперь угрожает жизням пациентов больниц», — написал Сноуден в своём Twitter.
Поддержал его и портал WikiLeaks, напомнивший, что ранее не раз предупреждал о бесконтрольном распространении вредоносного программного обеспечения американскими спецслужбами в серии своих публикаций Vault 7.
«Если не можешь сохранить в тайне — не создавай: источник Vault 7 предупреждал об огромном риске распространения кибероружия США среди преступников», — сообщается в Twitter организации.
В России атакам подверглись серверы и компьютерные системы оператора сотовой связи «МегаФон», Сбербанка а также МВД и МЧС. Компании «МегаФон» временно пришлось отключить часть компьютерной системы и приостановить работу кол-центра. Сбербанк, МВД и МЧС заявили, что хакерам не удалось проникнуть через их системы защиты.
«Все попытки вирусных атак на компьютеры были блокированы, заражению не подвергся ни один компьютер. Все интернет-ресурсы МЧС России работают в штатном режиме», — приводит ТАСС слова представителя ведомства.
«Системы информационной безопасности своевременно зафиксировали попытки проникновения в инфраструктуру банка. Сеть банка предусматривает защиту от подобных атак. Проникновения вирусов в систему не произошло», — говорится в сообщении Сбербанка.
Кроме российских, вирусом были также атакованы ведомства Швеции. Там вирус поразил около 70 компьютеров муниципалитета Тимра к северу от Стокгольма.
Агентство Интерфакс со ссылкой на осведомлённый источник сообщило, что атака на серверы МВД не привела к утечке информации.
Интернациональная группа
В данном случае речь идёт о распространении нового типа вируса ransomware, считает эксперт по информационной безопасности ЗАО «Монитор безопасности» Тарас Татаринов.
«Судя по всему, речь идёт не о таргетированной хакерской атаке, а о распространении какого-то нового типа вируса ransomware», — отметил эксперт в разговоре с RT.
По его мнению, такие программы создают высокопрофессиональные злоумышленники, отследить которых крайне затруднительно, почти невозможно.
«По крайней мере, техническими средствами определить, кто является автором вредоносной программы, нельзя. То, что охвачено такое большое количество стран, свидетельствует о том, что действовала команда преступников, но совсем не обязательно, что они совершили нападение из одного какого-то государства, это могла быть интернациональная группа», — заявил Татаринов.
Генеральный директор компании Zecurion Алексей Раевский заявил в разговоре с RT, что не верит, будто киберпреступники специально выбирали цели для своей масштабной атаки.
Как отметил эксперт, вероятнее всего, они искали любые компании и ведомства с уязвимостями, а потом их использовали.
«Скорее всего, нашли уязвимости и стали сканировать на предмет того, как воспользоваться ими. Что нашли, то и использовали, так сказать. Вряд ли это были таргетированные атаки на определённые организации», — заявил он.
В распоряжение RT поступило официальное заявление от компании «Лаборатория Касперского».
«Специалисты «Лаборатории Касперского» проанализировали информацию о заражениях программой-шифровальщиком, получившей название WannaCry, с которой 12 мая столкнулись компании по всему миру. Как показал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010. Затем на заражённую систему устанавливался руткит, используя который, злоумышленники запускали программу-шифровальщик», — говорится в заявлении.
«Лаборатория Касперского» зафиксировала порядка 45 тыс. попыток атак в 74 странах.
https://russian.rt.com/world/article/388956-hackery-virys-kiberataka
США готовы помочь в борьбе с вирусом WannaCry
Министерство внутренней безопасности США высказало готовность помочь в борьбе с распространением компьютерного вируса WannaCry как иностранным партнерам США, так и американским организациям, говорится в официальном заявлении ведомства, пишет Хроника.инфо со ссылкой на Телеграф.
"Мы активно обмениваемся информацией, связанной с этим событием, и готовы оказывать техническую поддержку и помощь, если это необходимо, нашим партнерам, как в Соединенных Штатах, так и на международном уровне. В министерстве работают профессионалы в области кибербезопасности, которые могут предоставить экспертные знания и поддержку критически важным объектам инфраструктуры", - отмечается в документе.
Кроме этого, в министерстве посоветовали американским гражданам во избежание заражения компьютеров WannaCry обновить программное обеспечение, не открывать незнакомые файлы и ссылки в сообщениях, пришедших по электронной почте, и выполнять резервное копирование файлов.
В министерстве также упомянули, что еще в марте компания Microsoft выпустила программу, которая в случае установки позволит убрать ту уязвимость компьютера, которая дает возможность вирусу WannaCry "заражать" его.
Распространение вируса-вымогателя случайно приостановили благодаря регистрации бессмысленного доменного имени
Распространение вируса-вымогателя WannaCrypt удалось приостановить, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.
Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.
Как написал @MalwareTechBlog, когда он регистрировал домен, он не знал, что это приведет к замедлению распространения вируса.
Чтобы снова начать заражения, злоумышленникам достаточно изменить несколько строчек кода, где упоминается домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Исследователи из Cisco Umbrella первыми заметили запросы к домену-выключателю (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com), которые начались в 07:24 UTC, а всего через 10 часов количество запросов уже превышало 1400 в час.
Доменное имя выглядит, как составленное человеком, так как большинство символов находятся на соседних рядах клавиатуры.
Этот домен можно назвать выключателем, исходя из его роли в выполнении зловреда.
В пятницу по всему миру прошла волна хакерских атак с использованием программы ransomware WanaCrypt0r 2.0 (WannaCry). По данным «Лаборатории Касперского», хакеры произвели более 45 тыс. попыток заражения различных систем в 74 странах. Целями злоумышленников, вымогавших выкуп за доступ к зашифрованным вирусом файлам, стали, в частности, медучреждения в Великобритании, испанская телекоммуникационная компания Telefonica, американский почтовый гигант FedEx, российские Сбербанк, «МегаФон» а также МВД и МЧС России.
Десятки тысяч компьютеров в 74 странах были заражены 12 мая вирусом-шифровальщиком WanaCrypt0r 2.0 (также обозначается как WannaCry). Вредоносная программа, требующая для разблокировки выкуп в размере $600 в криптовалюте биткоин, поразил компьютерные системы крупных организаций по всему миру, в том числе и российских ведомств.
Первыми о масштабном распространении вируса сообщили программисты из команды MalwareHunterTeam, опубликовавшие соответствующее сообщение ещё в 04:00 12 мая.
«Ransomware-вирус WanaCrypt0r 2.0 чертовски быстро распространяется», — сообщила группа. Согласно их данным больше всего атак по состоянию на утро пятницы наблюдалось в России, на Тайване и в Испании.
В пятницу по всему миру прошла волна хакерских атак с использованием программы ransomware WanaCrypt0r 2.0 (WannaCry). По данным «Лаборатории Касперского», хакеры произвели более 45 тыс. попыток заражения различных систем в 74 странах. Целями злоумышленников, вымогавших выкуп за доступ к зашифрованным вирусом файлам, стали, в частности, медучреждения в Великобритании, испанская телекоммуникационная компания Telefonica, американский почтовый гигант FedEx, российские Сбербанк, «МегаФон» а также МВД и МЧС России.
Десятки тысяч компьютеров в 74 странах были заражены 12 мая вирусом-шифровальщиком WanaCrypt0r 2.0 (также обозначается как WannaCry). Вредоносная программа, требующая для разблокировки выкуп в размере $600 в криптовалюте биткоин, поразил компьютерные системы крупных организаций по всему миру, в том числе и российских ведомств.
Первыми о масштабном распространении вируса сообщили программисты из команды MalwareHunterTeam, опубликовавшие соответствующее сообщение ещё в 04:00 12 мая.
«Ransomware-вирус WanaCrypt0r 2.0 чертовски быстро распространяется», — сообщила группа. Согласно их данным больше всего атак по состоянию на утро пятницы наблюдалось в России, на Тайване и в Испании.
К вечеру пятницы в ряде СМИ появилась информация, что хакерам удалось заразить компьютерные сети Национальной системы здравоохранения Великобритании, в результате чего была временно нарушена работа 25 медицинских учреждений в Англии и Шотландии. Из Испании сообщения о кибератаках с применением вируса WannaCry поступили от телекоммуникационной компании Telefonica, банка Iberica, энергокомпании Iberdrola и Gas Natural. Об атаках на свои компьютеры сообщил и американский почтовый гигант FedEx.
Инструмент АНБ
Некоторые эксперты указали на метод распространения вируса с помощью «дыры» в безопасности системы Windows. Об этом заявила, в частности, группа The Shadow Brokers, которая также сообщила, что выложила в свободный доступ хакерские программы, украденные у Агентства национальной безопасности США. О том, что данная атака была проведена с помощью программ, разработанных в недрах АНБ, заявил и бывший сотрудник ведомства Эдвард Сноуден.
«Ого: решение АНБ создавать инструменты атаки против американского программного обеспечения теперь угрожает жизням пациентов больниц», — написал Сноуден в своём Twitter.
Поддержал его и портал WikiLeaks, напомнивший, что ранее не раз предупреждал о бесконтрольном распространении вредоносного программного обеспечения американскими спецслужбами в серии своих публикаций Vault 7.
«Если не можешь сохранить в тайне — не создавай: источник Vault 7 предупреждал об огромном риске распространения кибероружия США среди преступников», — сообщается в Twitter организации.
В России атакам подверглись серверы и компьютерные системы оператора сотовой связи «МегаФон», Сбербанка а также МВД и МЧС. Компании «МегаФон» временно пришлось отключить часть компьютерной системы и приостановить работу кол-центра. Сбербанк, МВД и МЧС заявили, что хакерам не удалось проникнуть через их системы защиты.
«Все попытки вирусных атак на компьютеры были блокированы, заражению не подвергся ни один компьютер. Все интернет-ресурсы МЧС России работают в штатном режиме», — приводит ТАСС слова представителя ведомства.
«Системы информационной безопасности своевременно зафиксировали попытки проникновения в инфраструктуру банка. Сеть банка предусматривает защиту от подобных атак. Проникновения вирусов в систему не произошло», — говорится в сообщении Сбербанка.
Кроме российских, вирусом были также атакованы ведомства Швеции. Там вирус поразил около 70 компьютеров муниципалитета Тимра к северу от Стокгольма.
Агентство Интерфакс со ссылкой на осведомлённый источник сообщило, что атака на серверы МВД не привела к утечке информации.
Интернациональная группа
В данном случае речь идёт о распространении нового типа вируса ransomware, считает эксперт по информационной безопасности ЗАО «Монитор безопасности» Тарас Татаринов.
«Судя по всему, речь идёт не о таргетированной хакерской атаке, а о распространении какого-то нового типа вируса ransomware», — отметил эксперт в разговоре с RT.
По его мнению, такие программы создают высокопрофессиональные злоумышленники, отследить которых крайне затруднительно, почти невозможно.
«По крайней мере, техническими средствами определить, кто является автором вредоносной программы, нельзя. То, что охвачено такое большое количество стран, свидетельствует о том, что действовала команда преступников, но совсем не обязательно, что они совершили нападение из одного какого-то государства, это могла быть интернациональная группа», — заявил Татаринов.
Генеральный директор компании Zecurion Алексей Раевский заявил в разговоре с RT, что не верит, будто киберпреступники специально выбирали цели для своей масштабной атаки.
Как отметил эксперт, вероятнее всего, они искали любые компании и ведомства с уязвимостями, а потом их использовали.
«Скорее всего, нашли уязвимости и стали сканировать на предмет того, как воспользоваться ими. Что нашли, то и использовали, так сказать. Вряд ли это были таргетированные атаки на определённые организации», — заявил он.
В распоряжение RT поступило официальное заявление от компании «Лаборатория Касперского».
«Специалисты «Лаборатории Касперского» проанализировали информацию о заражениях программой-шифровальщиком, получившей название WannaCry, с которой 12 мая столкнулись компании по всему миру. Как показал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010. Затем на заражённую систему устанавливался руткит, используя который, злоумышленники запускали программу-шифровальщик», — говорится в заявлении.
«Лаборатория Касперского» зафиксировала порядка 45 тыс. попыток атак в 74 странах.
https://russian.rt.com/world/article/388956-hackery-virys-kiberataka
США готовы помочь в борьбе с вирусом WannaCry
Министерство внутренней безопасности США высказало готовность помочь в борьбе с распространением компьютерного вируса WannaCry как иностранным партнерам США, так и американским организациям, говорится в официальном заявлении ведомства, пишет Хроника.инфо со ссылкой на Телеграф.
"Мы активно обмениваемся информацией, связанной с этим событием, и готовы оказывать техническую поддержку и помощь, если это необходимо, нашим партнерам, как в Соединенных Штатах, так и на международном уровне. В министерстве работают профессионалы в области кибербезопасности, которые могут предоставить экспертные знания и поддержку критически важным объектам инфраструктуры", - отмечается в документе.
Кроме этого, в министерстве посоветовали американским гражданам во избежание заражения компьютеров WannaCry обновить программное обеспечение, не открывать незнакомые файлы и ссылки в сообщениях, пришедших по электронной почте, и выполнять резервное копирование файлов.
В министерстве также упомянули, что еще в марте компания Microsoft выпустила программу, которая в случае установки позволит убрать ту уязвимость компьютера, которая дает возможность вирусу WannaCry "заражать" его.
Распространение вируса-вымогателя случайно приостановили благодаря регистрации бессмысленного доменного имени
Распространение вируса-вымогателя WannaCrypt удалось приостановить, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.
Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.
Как написал @MalwareTechBlog, когда он регистрировал домен, он не знал, что это приведет к замедлению распространения вируса.
Чтобы снова начать заражения, злоумышленникам достаточно изменить несколько строчек кода, где упоминается домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Исследователи из Cisco Umbrella первыми заметили запросы к домену-выключателю (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com), которые начались в 07:24 UTC, а всего через 10 часов количество запросов уже превышало 1400 в час.
Доменное имя выглядит, как составленное человеком, так как большинство символов находятся на соседних рядах клавиатуры.
Этот домен можно назвать выключателем, исходя из его роли в выполнении зловреда.
 |
 |
|
Уже винду снёс