Служебная проверка личного состава
МВД начал проведение служебной проверки по факту заражения компьютеров ведомства вирусом-вымогателем WannaCry, сообщил «Интерфакс» со ссылкой на заявление первого замглавы МВД России Александра Горового.
По словам первого замминистра МВД, причиной заражения персональных компьютеров сотрудников министерства послужили «попытки присоединить служебный компьютер к интернету посредством того или иного механизма». Факт заражения компьютеров ведомства, считает Александр Горовой, является следствием субъективных нарушений сотрудниками правил пользования информационными системами.
По информации «Интерфакса», заражению WannaCry в МВД подверглись исключительно персональные компьютеры сотрудников. Внутренняя сеть министерства внутренних дел, защищенная от внешнего воздействия, при атаке вируса не пострадала.
«Действительно, ряд персональных машин сотрудников органов внутренних дел был подвержен вирусной атаке. По распоряжению министра внутренних дел Владимира Колокольцева по данному факту проводится служебная проверка, – сказал Александр Горовой. – Все предупредительно-профилактические мероприятия в части доведения до личного состава необходимости исключения подобных фактов проведены с достаточно жесткими посылами. А все внутренние наши информресурсы, я еще раз подчеркну, недосягаемы для внешнего воздействия».
Вирус-вымогатель WannaCry в глобальном и российском масштабах
Глобальная кибератака с использованием вируса-вымогателя WannaCry началась 12 мая 2017 г. Вирус заразил десятки тысяч компьютеров по всему миру, в том числе, компьютеры государственных учреждений.
Помимо МВД России вирусной атаке подверглось оборудование Следственного комитета, Минздрава, МЧС, Сбербанка, операторов «Мегафон», Yota, «Билайн» и др. Из-за вируса оказалась заблокирована работа системы выдачи водительских прав в нескольких регионах России. Газета New York Times подчеркнула, что большинство атакованных компьютеров находится в России. В общей сложности WannaCry заблокировала работу компьютеров в 150 странах.
Сотрудник компании Avast (разрабатывает одноименный антивирус) Якуб Кроустек (Jakub Kroustek) написал у себя в твиттере, что заражены как минимум 36 тыс. различных компьютеров в России, на Украине и на Тайване.
Вирус носит название @wanadecriptor. Якуб Кроустек приводит другие его наименования: WannaCry, WanaCypt0r, WCry. WannaCry шифрует файлы пользователя, после чего их становится невозможно использовать. Для разблокировки от жертв требуют выкуп от $200 до $600, который следует перевести на указанные счета в биткоинах. В России вирус атаковал Сбербанк, «Мегафон» и МВД.
Природа вируса
По данным InfoWatch, первую волну вируса удалось остановить благодаря британскому программисту, который обнаружил, что вирус обращается по адресу iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com и решил зарегистрировать домен, чтобы проследить его активность.
Адрес был зашит в коде вируса на тот случай, если его потребуется остановить. Как только хакеры изменят адрес в коде, кибератака продолжится.
Технология распространения вируса не требует никаких действий от пользователя — ни открытия файлов, ни чтения почты, ни перехода по ссылкам — только включенный компьютер с уязвимым Windows и подключением к интернету.
По данным на 15 мая, WannaCry заблокировала не менее 200 тыс. компьютеров. Зараженными оказались компьютеры МВД России, РДЖ, телеком-операторов «Мегафон» и «Вымпелком». Атаки были также осуществлены на Сбербанк, Минздрав и систему выдачи прав ГИБДД.
В Германии хакерской атаке подверглись системы крупнейшего железнодорожного оператора Deutsche Bahn. В Великобритании под ударом оказались сервисы больниц.
В Японии среди жертв вируса оказались некоторые подразделения Nissan и Hitachi, в Китае нефтяной гигант PetroChina подтвердил, что пострадали платежные системы на некоторых его заправках. Также пострадали несколько испанских компаний (телекоммуникационный гигант Telefonica, энергетическая фирма Iberdrola, поставщик коммунальных услуг Gas Natural), компания экспресс-доставки FedEx, компания Renault.
По словам генерального директора Attack Killer (входит в ГК InfoWatch) Рустэма Хайретдинова, существует несколько классов вирусов по цели применения: «боевые» — как Stuxnet, атаковавший энергетические объекты в Иране и остановивший на какое-то время развитие ядерной программы в стране, «коммерческие» — которые пишутся с целью шантажа, грабежа, мошенничества, а также «информационные атаки» — которые производятся, чтобы продемонстрировать мощь и силу.
Трудно назвать атаки на больницу в Великобритании — позицией демонстрации силы, как и рассматривать WannaCry с точки зрения боевых вирусов — он вымогает деньги, таким образом, является образцом коммерческих вирусов.
«Атака шла на все уязвимые компьютеры и российские пользователи оказались наименее подготовленными к ней, и почему — предстоит выяснить. Возможно, это сочетание нескольких факторов, например, большого распространения пиратских копий среди персональных пользователей, — сказал Рустэм Хайретдинов. — Пользователи таких копий намеренно отключают обновления, поэтому с большой вероятностью за два месяца после выхода патча они себе его не установили. Корпоративные пользователи в массе своей имеют легальные копии операционных систем, однако они и обновляются по-другому — через корпоративные центры обновления. Принятие решение об установке обновления и его техническая реализация в каждой компании это отдельный процесс, который вполне мог затянуться на пару месяцев из-за бюрократии или технических проблем».
Предыстория вопроса
По данным аналитического центра InfoWatch, код вируса для компьютеров на ОС Windows был выложен в утечке WikiLeaks среди прочих хакерских инструментов ЦРУ. Несмотря на то, что код был «стерилизован», создатели вируса его модифицировали.
Президент России Владимир Путин прокомментировал вирусную атаку на компьютерные системы организаций вирусом WannaCry: «Что касается источника этих угроз, то, по-моему, руководство Microsoft об этом прямо заявило. Сказали о том, что первичным источником этого вируса являются спецслужбы Соединенных штатов, Россия здесь совершенно ни при чем. Мне странно слышать в этих условиях что-то другое».
Способы защиты
Microsort выпустила патч для всех поддерживаемых систем и для неподдерживаемых Windows Server 2003, Windows XP SP2 и SP3. Обычная тактика действия злоумышленников – сразу после выпуска патча изучать его с целью понимания принципов работы (реверсить), а поняв, какую уязвимость он закрывает, писать эксплойт (набор команд для эксплуатации этой уязвимости), пытаться атаковать непропатченных пользователей, отмечают в InfoWatch.
Это редко занимает больше нескольких суток, поэтому и рекомендации вендора в этом случае – после публикации патча немедленно его установить, поскольку злоумышленники действуют быстро. Скорость выпуска патча конкретно в этом случае никак бы не повлияла – злоумышленники использовали не «0-day» (уязвимость, к которой нет патча), а уже раскрытую уязвимость.
Чтобы защититься от вируса достаточно установки обновления Microsoft или ручного отключения устаревших и практически не использующихся протоколов.
«Любые эпидемии, в том числе киберэпидемии, и появляются из-за несоблюдения гигиены. Люди перестают заниматься гигиеной, расслабляются и начинают тяжело болеть там, где все могло обойтись мытьем рук перед едой», — считает Рустэм Хайретдинов.