Для тех,
кто не делает
поспешных выводов

Прокол кремлевских воров. Почему вирус-вымогатель победил российское МВД
Суббота, 13 Мая 2017, 20:00
МВД и Следком РФ получили удар оружием, припасенным для совсем других целей хакерской группировкой, работающей на Кремль

Фото: EPA/UPG

Днем 12 мая начали появляться сообщения о том, что во внутренней компьютерной системе МВД России бушует вирус-вымогатель WanaCrypt0r 2.0. Попав на компьютер жертвы, он шифрует все данные на жестком диске и требует отправить злоумышленникам 300 долларов в биткоинах. На размышление отводится три дня, после чего сумма выкупа увеличивается вдвое, а через неделю файлы останутся зашифрованными навсегда.

Первыми пострадали компьютеры управлений МВД РФ в Липецкой, Пензенской и Калужской областях. Вскоре появилась информация о том, что атаке подверглись и компьютеры Следственного комитета РФ, но его представители, как и пресс-служба МВД РФ, опровергли сообщения, заявляя, что никакого вируса во внутренних сетях нет. В МВД РФ сначала заявили, что у них ведутся некие "технические работы на внутреннем контуре", а потом признали факт атаки, но опровергли заражение серверов вирусом. Однако источник "Ленты.ру" в силовых структурах признал случаи заражения в региональных управлениях МВД и Следственного комитета.

Жертвой вымогателя стал и мобильный оператор "Мегафон". Представитель компании Петр Лидов-Петровский объяснил, что компьютеры в компании подверглись массовому заражению, поскольку связаны между собой внутренней сетью. В результате перестала работать техподдержка, ведь операторы не могли воспользоваться компьютерами и принять звонки, а в салонах "Мегафона" возникли проблемы с обслуживанием клиентов.

Фото: StopGame

Загадка российского эпицентра

Атакам подверглись не только российские ведомства и компании. Специалисты из MalwareHunterTeam, отслеживающие новые вирусы и уязвимости, еще ранним утром 12 мая сообщили, что "по сети с дьявольской скоростью распространяется новый вредитель WanaCrypt0r 2.0". Действительно, всего лишь через шесть часов после этого появилась информация о том, что зарегистрировано уже более 45 тыс. атак в 74 странах.

В Испании и Португалии вирус парализовал работу крупного оператора связи Telefonica и прошелся по газовой компании Gas Natural, оператору электросетей Iberdrola и банку Iberica. Также он заразил внутренние сети нескольких британских больниц, потом был зафиксирован в Сингапуре, на Тайване и в Китае, а далее распространился по всему миру, добравшись даже до Австралии и Латинской Америки.

Однако если посмотреть на карту распространения вируса на начальном этапе эпидемии, то сразу же бросается в глаза, что именно в России заражение было наиболее быстрым и массовым. Сотрудник компании Avast Якуб Кроустек утром 12 мая сообщил, что жертвами атаки стали 36 тыс. компьютеров прежде всего в России, Украине и на Тайване. А вечером 12 мая он же привел новые данные: заражены 100 тыс. компьютеров, из них 57% – в России.

Карта распространения вируса на начальном этапе. Источник: MalwareTech 

Российским МВД заправляют воры

Вирус заражает только компьютеры на Windows. Ранние версии WannaCrypt, использующие "дыру" в этой операционной системе – уязвимость под названием Eternal Blue, были известны еще в феврале 2017 г. Компания Microsoft 14 марта выпустила обновление, которое нейтрализует Eternal Blue, и рекомендовала всем пользователям обновить свою операционную систему.

По всей видимости, жертвами вируса-вымогателя оказались пользователи, не установившие последние обновления Windows. В основном это те юзеры, кто пользуется пиратскими операционками, не получающими апдейты от Microsoft.

Именно пиратские копии Windows подвели множество компаний в России, Украине, Китае и на Тайване. Но только в России массовые поражения от вируса получили компьютеры государственных органов, да не каких-нибудь, а силовых – МВД и Следственного комитета. Тех самых, которые призваны бороться с организованной преступностью и в частности с компьютерным пиратством.

Пожалуй, никогда так смачно не макали головой в грязь путинских "правоохранителей". Хотя шантажисты, конечно, не имели такой цели. Они просто воспользовались возможностью, которую подарила им уязвимость Windows, и попытались "заработать".

Фото: ria.ru

Конец шантажа

13 мая стало известно, что распространение вируса-вымогателя удалось приостановить. Специалист по безопасности из Proofpoint Дэриен Хасс, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к домену с длиннючим именем iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, и решил зарегистрировать его, чтобы следить за активностью программы.

Как выяснилось потом, в коде вируса говорится, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена к нему пришли десятки тысяч запросов.

Как написал Дэриен Хасс, когда он регистрировал домен, он не знал, что это приведет к замедлению распространения вируса. Но это произошло. В своем рассказе Хасс поблагодарил американское ФБР и группу ShadowSgfgtferver – по его словам, "они очень помогли в получении информации о жертвах за пределами Великобритании".

Основанная в 2004 г., Shadowserver состоит из волонтеров-добровольцев со всего мира, являющихся профессионалами по вопросам кибербезопасности. Группа собирает сведения о темной стороне интернета с целью противодействия киберпреступности.

Теперь ФБР и Shadowserver могут сформировать базу данных жертв WanaCrypt0r, зная, что большинство их пользуются пиратским программным обеспечением. Наверное, ребят из ФБР и Shadowserver немало повеселит, как легко попались на пиратстве путинские "правоохранители".

Сами себя наказали

Еще одну интересную связь обнаружило британское издание The Telegraph. Оно вспомнило об угрозах группировки Shadow Brokers в адрес президента США Дональда Трампа.

8 апреля, после ракетного удара США в Сирии, эта группировка обнародовала заявление, в котором на ломаном английском обвинила Трампа в измене "людям, которые за него голосовали" и которые ему помогали. "Отдельные эксперты считают, что это указывает на связь Shadow Brokers с российским правительством", – утверждает издание.

Фото: lennbeck.com

По сведениям The Telegraph, 14 апреля Shadow Brokers "сбросили" уязвимость Eternal Blue на некий сайт. И уже оттуда ее подобрали кибермошенники. "Вполне вероятно, что обычные интернет-преступники просто использовали с целью наживы информацию, которую Shadow Brokers оставили в интернете", – говорит эксперт по компьютерной безопасности Грэм Клули.

Если это так, то вполне может оказаться, что МВД и Следком РФ получили удар оружием, припасенным для совсем других целей хакерской группировкой, работающей на Кремль. А значит, путинские силовики в этой истории выставили себя на посмешище дважды.

Больше новостей о событиях за рубежом читайте в рубрике Мир