Полювання на кибервымогателей. Як зміниться світ після атаки WannaCry

Атака вірусу-здирника WannaCry, що вразила сотні тисяч комп'ютерів у багатьох країнах, змусить витягти уроки всіх: і розробників програмного забезпечення, і рядових користувачів, і уряди держав, і борців з кіберзлочинністю, як, втім, і самих інтернет-здирників.

Щоб оцінити майбутні зміни, потрібно спочатку трохи заглибитися в історію питання.

Звідки взявся WannaCry

Атака WannaCry тому і безпрецедентна, що це перший напад, націлене не на вузьке коло заздалегідь підібраних жертв, а потенційно на всіх, хто користується операційною системою Windows. Вірус проникає в систему за допомогою хакерської програми EternalBlue. Та, у свою чергу, експлуатує уразливість Windows, про яку було відомо ще в лютому 2017 р. Корпорація Microsoft 14 березня випустила оновлення, що нейтралізує EternalBlue, і рекомендувала всім користувачам оновити свою операційну систему. Однак це не врятувало тих юзерів, на чиїх комп'ютерах встановлені старі версії Windows або ж хто користується піратськими операційками, не отримують апдейти від Microsoft.

Деякі фахівці з кібербезпеки, в т. ч. з Google і Symantec, заявили, що знайшли технічні докази в WannaCry, що свідчать про причетність до створення вірусу хакерської організації Lazarus Group, яка начебто базується в Китаї, а діє в інтересах Північної Кореї. Однак перша версія вірусу була виявлена ще 10 лютого, тому цілком може бути, що кибервымогатели, організували атаку через три місяці, просто скористалися чужий розробкою.

У число тих, хто давно знає про EternalBlue, входить Агентство національної безпеки (АНБ) США. Про це стало відомо у квітні від хакерського угруповання Shadow Brokers. 8 квітня, після ракетного удару США в Сирії, ця угруповання оприлюднила заяву, в якій на ламаною англійською звинуватила Трампа у зраді "людям, які за нього голосували" і які йому допомагали. "Окремі експерти вважають, що це вказує на зв'язок Shadow Brokers з російським урядом", – стверджує британське видання The Telegraph. А 14 квітня Shadow Brokers виклала у відкритий доступ документи АНБ, що містять докладний опис вразливостей Windows.

Так інформація, яку копітко збирало для себе АНБ, стала доступна кибершахраям. "Цілком ймовірно, що звичайні інтернет-злочинці просто використовували з метою наживи інформацію, яку Shadow Brokers залишили в інтернеті", – цитує The Telegraph експерта по комп'ютерній безпеці Грема Клулі.

У чому прорахувалися здирники

Атака WannaCry почалася 12 травня і за перші два дні, як заявив директор "Європолу" Роб Вейнрайт, торкнулася 200 тис. користувачів в 150 країнах світу. Серед жертв виявилися, зокрема, комп'ютерні системи іспанської телекомунікаційної системи Telefonica і німецького залізничного концерну Deutsche Bahn. Французький автовиробник Renault був змушений припинити виробництво на заводах у Франції та Словенії. Особливо масовою була поразка комп'ютерів в Росії, де жертвами атаки стали МВС, Слідчий комітет, "Мегафон", РЖД і Ощадбанк.

15 травня радник президента США з національної безпеки Том Боссерт повідомив, що піддалися злому вже більше 300 тис. комп'ютерів в 150 країнах. Жертви WannaCry заплатили в цілому близько $70 тис. викупу, але невідомо жодного випадку, коли виплата викупу призвела б до розблокування комп'ютерів, заявив Боссерт.

Експерт з інформаційної безпеки Рюдігер Трост в інтерв'ю Die Zeit висловив думку, що "хакери не розраховували на таке масштабне дію вірусу". Схоже, і правда хакери недооцінили, який галас вони викличуть. Але їх прорахунок не тільки в цьому. Вони створили прецедент, який не на жарт стривожив і розлютив західні уряди. Раніше жодне угруповання не претендувала на здатність виводити з ладу комп'ютери по всьому світу. Це було прерогативою американських спецслужб, якої ті ще жодного разу по-справжньому не користувалися. І тут їх випередили якісь пройдисвіти. Причому не самі придумали, як зламати Windows, а скористалися поцупленими дослідженнями АНБ, з-за чого американські спецслужби тепер піддаються в західних ЗМІ жорсткій критиці і навіть глузуванням.

Чималий внесок у цю кампанію вніс президент Microsoft Бред Сміт, що цілком логічно, оскільки Microsoft дуже важливо зняти з себе провину за уразливості Windows. "Ми бачили, що дані про уразливості, зібрані ЦРУ, були опубліковані на WikiLeaks. Тепер вкрадені у АНБ дані торкнулися користувачів по всьому світу", – зазначив Сміт у своєму блозі на сайті корпорації. Він підкреслив, що уряди повинні повідомляти про виявлені спецслужбами вразливості розробникам, а не накопичувати, продавати або експлуатувати ці уразливості.

Неважко зрозуміти, що вимагачі стали найлютішими ворогами американських спецслужб. І якщо все це заради $70 тис., то навряд чи воно того варто.

Чого чекати далі

The Wall Street Journal повідомляє, що урядові органи почали глобальну полювання за винуватцями атаки. "Це складне міжнародне розслідування, яке потребує співпраці та обміну розвідданими на тому ж рівні, що і при розслідуванні великих терактів", – зазначає видання.

Президент США Дональд Трамп в ніч на 13 травня скликав термінову нараду з питань внутрішньої безпеки із-за стрімкого поширення WannaCry. За даними Reuters, потім 13 травня відбулося засідання високопоставлених чиновників у сфері безпеки, на якому ФБР і АНБ намагалися встановити виконавців кібератак.

У той же день на зустрічі міністрів фінансів країн G7 у місті Барі (Італія) було заявлено, що боротьба з кіберзлочинністю повинна мати пріоритетний характер. Необхідні заходи будуть обговорюватися на саміті G7 на вищому рівні 26-27 травня у Таорміні (Італія).

Вже змінюється життя пересічних юзерів. 13 травня Microsoft пішла на нестандартний крок і вирішила випустити патч для старих версій Windows. Але можна очікувати, що багато компаній і держструктури, досі користувалися старими Windows, таки розщедряться на нові версії (зрозуміло, легальні, а не піратські). Так що в підсумку Microsoft може опинитися у великому виграші.

Також вже виграли компанії в сфері кібербезпеки. Їх акції дорожчають, а кількість замовлень зростає.

Звичайно, спробують відігратися американські спецслужби. Але для цього буде замало упіймання дрібних кибершантажистов. А більш великим уловом можуть бути тільки російські хакери, які працюють на Кремль. І те, що до WannaCry вони непричетні, нікого не буде хвилювати.

Чим унікальний WannaCry

Кибервымогательство - взагалі-то досить поширене явище. Але воно рідко буває масштабним. Зазвичай, програми-викрадачі сконцентровані на обмеженій кількості мішеней, готових заплатити за відновлення надчутливих для них даних. При цьому віруси користуються слабкою киберзащищенностью своїх жертв. Найчастіше програми-викрадачі ховаються в текстових файлах або PDF-документах і розповсюджуються поштою.

Однак багато юзери, чиї комп'ютери постраждали від WannaCry, стверджують, що останнім часом не заходили в пошту і не відкривали сумнівні вкладення. Вірус проникав іншим шляхом. У багатьох жертв за кілька днів до того, як вірус зашифрував всі наявні на комп'ютері файли, система яких безконтрольно перезапускалась, або вимагала перезавантажити комп'ютер з-за якоїсь критичної помилки, дбайливо нагадуючи про необхідність зберегти всі важливі файли.

Постраждалі повідомили також, що антивіруси не здатні виявити WannaCry. На повний цикл зашифровування у нього йде близько чотирьох годин, але у вікні процесів сторонніх програм не спостерігається. Зашифрувавши всі дані на жорсткому диску, вірус вимагає заплатити $300 в биткоинах. На обдумування відводиться три дні, після чого сума викупу збільшується вдвічі, а через тиждень файли залишаються зашифрованими назавжди.