Независимое издание от Кремля

Виртуальная инфекция мирового масштаба: новый вирус атаковал компьютеры в 74 государствах, включая Россию

15.05.2017

Как подсчитали сотрудники «Лаборатории Касперского», хакеры предприняли 45 тысяч попыток атаковать компьютеры силовых ведомств и операторов связи. В большинстве случаев мишенью стали российские компании.
Как пишет РБК, информация о масштабных хакерских атаках появилась вечером 12 мая. Под удар попали «МегаФон», «ВымпелКом» и Следственный комитет.

«У нас на ряде компьютеров появились предупреждения с [требованием выкупа в] $300, охват был довольно большой. Это никак не повлияло на связь и абонентов, так как вирус атаковал только наши компьютеры», — рассказал РБК представитель «МегаФона» Петр Лидов-Петровский. 

Он пояснил, что IT-специалистам пришлось отключить сети, чтобы вирус не распространился дальше, «это повлияло на некоторые ретейл-офисы и отдельные услуги». Представитель «МегаФона» отметил, что компания ликвидирует вредоносную программу совместно с «Лабораторией Касперского». К 21:30 мск «МегаФон» сообщила о восстановлении работы кол-центра после атаки хакеров. 
Попытка атаки была проведена и на системы информационной безопасности «ВымпелКома» (оказывает услуги под брендом «Билайн»). По словам представителя оператора Анны Айбашевой, хакеры пытались атаковать и системы информационной безопасности оператора, однако специалисты смогли отразить атаки. 

Представитель МТС Дмитрий Солодовников сообщил, что у оператора таких случаев не зафиксировано. «На всякий случай дополнительно мониторим ситуацию», — говорит он. 

Помимо телекоммуникационных компаний, жертвами атак хакеров, по словам источников РБК, а также «Газеты.Ru» и «Медиазоны», стали силовые ведомства России. Собеседник РБК в МВД рассказал об атаке на внутренние сети ведомства. По его словам, атаке подверглись в основном региональные управления министерства. ​Он уточнил, что вирус поразил компьютеры как минимум в трех областях европейской части России. Источник добавил, что на работе МВД эта атака не должна отразиться. Другой собеседник РБК в министерстве рассказал, что хакеры могли получить доступ к базам МВД, но неизвестно, успели ли они скачать оттуда информацию. Атака на МВД затронула только те компьютеры, на которых давно не обновлялась операционная система, рассказал собеседник в ведомстве. Работа министерства не парализована хакерами, но сильно затруднена. 

Позднее МВД официально подтвердило, что была зафиксирована вирусная атака на персональные компьютеры ведомства, находящиеся под управлением операционной системы Windows. Всего было заражено около 1 тыс. компьютеров (0,1%), которые были оперативно блокированы, пояснили в ведомстве. Серверные ресурсы МВД не подвергались заражению, подчеркнули в МВД. «В настоящий момент вирус локализован, проводятся технические работы по его уничтожению и обновлению средств антивирусной защиты», — говорится в сообщении МВД. 

По данным собеседника «Газеты.Ru» в силовых структурах, атаке также подверглись серверы Следственного комитета России. Вирус, как утверждает источник, шифрует файлы на жестком диске и блокирует экран устройств. 

Представитель СКР Светлана Петренко опровергла ТАСС информацию об атаках хакеров на внутренние сети. По ее словам, все работает в штатном режиме. В пресс-службе МВД России также не подтвердили информацию о заражении вирусом внутренней компьютерной сети. «У нас все работает», — сказал представитель ведомства.

МЧС России сообщило, что зафиксировало несколько попыток атак на свои компьютеры, но смогло их отразить. Как заявили ТАСС в пресс-службе спасательного ведомства, все попытки вирусных атак на компьютеры были блокированы, заражению не подвергся ни один компьютер. «Все интернет-ресурсы МЧС России работают в штатном режиме», — подчеркнул представитель МЧС. 

Финансовый сектор России от глобальной хакерской атаки не пострадал, сообщил РБК источник, близкий к FinCERT (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере) ЦБ. «Все находится под контролем, все участники рынка предупреждены о совершенной угрозе», — сказал источник РБК. Позже Банк России заявил, что FinCERT зафиксировал массовые рассылки банкам вируса, однако осуществить атаку не удалось, передает «Интерфакс». Сбербанк сообщил об отражении атаки и переведении своих IT-специалистов в режим повышенной готовности. Об отражении хакерской атаки также сообщили в Минздраве России. Помимо этого, Российские железные дороги заявили, что хакеры попытались взломать IT систему компании. Вирус был локализован, атака не повлияла на режим работы железных дорог. 

Мировые масштабы 

Хакерские атаки 12 мая происходили не только в России, но и во всем мире. По оценке «Лаборатории Касперского», было проведено 45 тыс. попыток взлома в 74 странах. При этом большая часть попыток взлома пришлась на Россию. Компания Intel создала онлайн-карту атак вируса WannaCryptor по всему миру. 

Днем 12 мая хакеры атаковали серверы больниц в Великобритании. На экранах зараженных компьютеров появлялись сообщения с требованиями злоумышленников. Надписи в мониторах гласили, что хакеры готовы разблокировать сети при получении $300 (в биткоинах). 

Из-за масштабного сбоя некоторые пациенты не смогли получить медицинскую помощь. Полиция уже занялась расследованием этого инцидента. Позже сообщения о хакерских атаках стали поступать от разных европейских организаций. Об этом, в частности, заявила Румынская служба информации и испанские телекоммуникационная компания Telefonica и банк Santander, передавал Reuters.

В Германии хакеры атаковали сервисы компании Deutsche Bahn, которая является основным железнодорожным оператором страны. Об этом сообщил телеканал ZDF со ссылкой на МВД страны. 

Министерство национальной безопасности США предложило партнерам техническую поддержку и помощь в борьбе с «программой-вымогателем» WannaCry. 

Что за вирус?

Согласно сообщению «Лаборатории Касперского», вирус, о котором идет речь, — программа-шифровальщик WannaCry. «Как показал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010. Затем на зараженную систему устанавливался руткит, используя который, злоумышленники запускали программу-шифровальщик», — рассказали в компании. 

«Все решения «Лаборатории Касперского» детектируют данный руткит как MEM: Trojan.Win64.EquationDrug.gen. Также наши решения детектируют программы-шифровальщики, которые использовались в этой атаке, следующими вердиктами: Trojan-Ransom.Win32.Scatter.uf, Trojan-Ransom.Win32.Fury.fr, PDM: Trojan.Win32.Generic (для детектирования данного зловреда компонент System Watcher должен быть включен)», — отметили в компании. 

Для снижения рисков заражения специалисты «Лаборатории Касперского» советуют пользователям установить официальный патч от Microsoft, который закрывает используемую в атаке уязвимость, а для предупреждения подобных инцидентов использовать сервисы информирования об угрозах, чтобы своевременно получать данные о наиболее опасных атаках и возможных заражениях. 

Хакерскую атаку прокомментировали и в Microsoft. «Сегодня наши специалисты добавили обнаружение и защиту от новой вредоносной программы, известной как Ransom: Win32.WannaCrypt. В марте мы также представили дополнительную защиту от вредоносного ПО подобного характера вместе с обновлением безопасности, которое предотвращает распространение вредоносного ПО по сети. Пользователи нашего бесплатного антивируса и обновленной версии Windows защищены. Мы работаем с пользователями, чтобы предоставить дополнительную помощь», — говорится в заявлении представителя Microsoft в России, поступившем в РБК. 

Представитель Solar Security заявил РБК, что компания видит атаку и в настоящий момент исследует образец вируса. «Сейчас мы не готовы делиться деталями, но зловред явно написан профессионалами. Пока нельзя исключать, что он представляет собой нечто более опасное, чем шифровальщик. Уже очевидно, что скорость его распространения беспрецедентно высокая», — сказал собеседник. По его словам, ущерб от вируса «огромен», он задел крупные организации в 40 странах мира, но точную оценку пока дать невозможно, поскольку возможности зловреда еще не до конца изучены и атака сейчас находится в развитии. 

Генеральный директор Group-IB Илья Сачков рассказал РБК, что программы-шифровальщики, аналогичные той, что использовалась при нынешней атаке, — это нарастающий тренд. В 2016 году количество таких атак увеличилось более чем в сто раз по сравнению с предыдущим годом, уточнил он. 

Сачков отметил, что, как правило, заражение устройства в таком случае происходит через электронную почту. Говоря о WannaCry, эксперт отметил, что у этой программы-шифровальщика есть две особенности. «Во-первых, она использует эксплоит ETERNALBLUE, который был выложен в открытый доступ хакерами Shadow Brokers. Патч, закрывающий эту уязвимость, для ОС Windows Vista и старше, стал доступен 9 марта в составе бюллетеня MS17-010. При этом патча для старых ОС вроде Windows XP и Windows server 2003 не будет, так как они выведены из-под поддержки», — рассказал он. 

«Во-вторых, помимо шифрования файлов она осуществляет сканирование интернета на предмет уязвимых хостов. То есть, если зараженный компьютер попал в какую-то другую сеть, вредоносное ПО распространится и в ней тоже, — отсюда и лавинообразный характер заражений», — добавил Сачков. 

Защиту от подобных атак, по словам Сачкова, можно обеспечить, используя решения класса «песочница», которые устанавливаются в сеть организации и проверяют все файлы, приходящие на почту сотрудникам или скачиваемые ими из интернета. Кроме того, напомнил эксперт, важно проводить с сотрудниками разъяснительные беседы об основах «цифровой гигиены» — не устанавливать программы из непроверенных источников, не вставлять в компьютер неизвестные флэшки и не переходить по сомнительным ссылкам, а также вовремя обновлять ПО и не использовать ОС, которые не поддерживаются производителем.

Кто виноват

В чьих интересах осуществлялась кибератака, пока неизвестно. По мнению экс-сотрудника АНБ Эдварда Сноудена, вирус может являться разработкой самой АНБ. Ранее аналогичное мнение озвучивалось на WikiLeaks. Власти Румынии подозревают в нападении некую организацию, «связанную с группировкой киберпреступности APT28/Fancy Bear», которую традиционно относят к «русским хакерам». Аналогичную точку зрения высказал The Telegraph, тоже усмотревший в произошедшем «российский след», но назвавший предполагаемыми виновниками некую группировку Shadow Brokers.



19.05.2018: Робототехника пришла к российским школьникам
Свыше ста учащихся школ Норильска и Заполярного испытают свои силы в конкурсе робототехники. Мероприятия проводятся с целью подведения итогов цикла обучающей программы для школьников в рамках программы РОБОНИКЕЛЬ.
19.05.2018: Евросоюз и Иран проведут семинар по ядерному сотрудничеству
Как сообщает информационное агентство ТАСС, стороны договорились о проведение в ноябре текущего года семинара по ядерному сотрудничеству.
19.05.2018: Боевики группировки ХТШ расстреляли «шпиона» коалиции в Сирии
Боевики запрещенной в РФ группировки «Тахрир аш-Шам» (ХТШ) ликвидировали гражданского человека Фаваза Али Аль-Ахмада в деревне Аль-Джина, расположенной в западной части провинции Алеппо, обвинив его в «шпионаже».
19.05.2018: Что стало причиной взрывов на авиабазе Хама в Сирии
Противоречивую информацию распространяют мировые СМИ по поводу взрывов, потрясших сирийский аэропорт. Не менее пяти взрывов прогремели на военном аэродроме Хама западной части Сирии.
19.05.2018: Израиль оградил новый аэропорт 26-метровым забором
Израиль построил уникальную «противоракетную сеть» для защиты нового аэропорта в рамках недавно завершенного сегмента своего восточного пограничного барьера, заявил в пятницу военный чиновник, передает AFP.
18.05.2018: США не стремятся конфликтовать с Россией – американский адмирал
ВМС США не стремятся конфликтовать с Москвой в связи с размещением российского ВМФ в Средиземноморье, но готово защищать свои интересы в регионе, сказал вице-адмирал Джеймс Фогго, командующий 6-м американским флотом.
18.05.2018: Трамп рассказал, что СМИ привирают о том, что он обозвал иммигрантов животными
По словам американского лидера, он обозвал животными только  участников бандформирования Mara Salvatrucha, одной из крупнейших банд иммигрантов в США.
18.05.2018: Формируется состав нового правительства
Как сообщает официальный сайт президента России, сегодня, 18 мая в летней резиденции главы РФ Владимира Путина «Бочаров ручей» проходит встреча президента и главы правительства Дмитрия Медведева. На встрече обсуждаются кандидатуры в состав правительства.
18.05.2018: США не будут отменять учения с Сеулом, несмотря на недовольство Пхеньяна
Пентагон не рассматривает возможность отмены или сокращения масштабов совместных военных учений США и Республики Кореи, которые вызвали гневное осуждение со стороны Пхеньяна перед запланированным саммитом США и КНДР, заявила в четверг представитель Пентагона.
18.05.2018: Эмир Катара поблагодарил Иран за поддержку
Глава Катара в четверг лично поблагодарил президента Ирана Хасана Роухани за поддержку его страны, которая почти течение почти года переживал кризис из-за блокады, введенной несколькими странами Персидского залива.


© The KremlNews - Научно-политические издание
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 67806
  Яндекс.Метрика