Компании Symantec и "Лаборатория Касперского" нашли доказательства того, что к глобальной кибератаке с помощью вируса-вымогателя WanaCrypt0r 2.0 могут быть причастны хакеры из Северной Кореи.
По данным экспертов, фрагменты кода, обнаруженные в ранней версии вируса WannaCry, использовались группировкой Lazarus Group, которую подозревают в связях с Пхеньяном. При этом в обеих компаниях утверждают, что пока рано говорить о причастности КНДР к атаке, поразившей более 300 тыс. компьютеров в 150 странах.
"Вы ведь помните еще наших северокорейских грабителей банков через SWIFT и ломателей Sony Pictures? Да, тех самых Lazarus, о которых мы так много [слышим] в последнее время. Детектив закручивается все сильней, и теперь один и тот же код обнаружен в #WannaCry и в троянцах от Lazarus", — написал на своей странице в Facebook главный антивирусный эксперт "Лаборатории Касперского" Александр Гостев.
В понедельник, 15 мая, эксперт из Google Нил Мехта нашел сходство между вредоносным WannaCry и "троянами", которые внедряла компания Lazarus, управляемая, по имеющимся данным, из Северной Кореи. Базирующаяся в Израиле компания Intezer Labs также солидарна с гипотезой о причастности Lazarus. Исполнительный директор компании Итаи Тевет написал в твиттере: "Intezer Labs подтверждает авторство Северной Кореи над WannaCry, и не только потому, что вирус функционирует, как программы Lazarus. Поступает дополнительная информация".
Впрочем, не стоит забывать, что определенная доля улик, которые можно обнаружить в программном коде, могла быть вписана туда специально, с тем чтобы запутать следствие.
Хакеров из группировки Lazarus обвиняют в краже $81 млн со счетов ЦБ Бангладеш, которая произошла в феврале 2016 г. Сотрудники регулятора не смогли вовремя отследить атаку, хакеры перевели деньги на счета на Филиппины и Шри-Ланку.
Массированная хакерская атака началась в пятницу, 12 мая, в по меньшей мере 150 странах и, по подсчетам Европейского полицейского агентства, затронула деятельность более 200 тыс. человек и организаций, в том числе государственных ведомств. Хакеры использовали вирус-вымогатель WannaCry, который шифрует и блокирует данные и требует заплатить за восстановление от $300 до $600 в биткоинах. В противном случае вирус обещает удалить файлы в течение трех дней.
Кибератака на компьютеры в Европе и Азии вывела из строя работу целого ряда различных организаций. В Великобритании WannaCry поразил компьютеры около 40 больниц. В результате медучреждения оказались не в состоянии принимать пациентов, включая тех, кому требовалась экстренная помощь. Самое большое количество атак было зафиксировано в России, где под удар попали серверы Минздрава, Сбербанка, МВД, "МегаФона" и других организаций.
Из-за вируса вышли из строя серверы таких крупных компаний, как Renault, немецкая железнодорожная Deutche Bahn, испанская телекоммуникационная Telefonica.
Остановить атаку удалось одному из программистов в Великобритании, обнаружившему в коде вируса адрес iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, к которому обращалась вредоносная программа. Код вируса проверял, присутствует ли в интернете домен с таким адресом. Если результат отрицательный - вирус продолжал свою работу. Этот механизм, по словам специалистов, был своего рода рубильником, на случай если надо было отключить вирус. Регистрация этого адреса за $10 позволила временно остановить распространение WannaCry.
Второй вариант, появившийся на днях, по всей видимости, умеет обходить киллсвитч (killswitch) – ту особенность в коде программы, которая помогла остановить первую волну атак. Хакеры выпустили обновленную версию вируса, которая вновь начала атаковать компьютеры. WannaCry попадает на ПК через уязвимость в Windows. Компания Microsoft закрыла ее, причем обновления были выпущены даже для тех версий Windows, поддержка которых была завершена.
Количество попыток атак WannaCry, задетектированных "Лабораторией Касперского" в понедельник 15 мая, снизилось в шесть раз по сравнению с аналогичным показателем пятницы, 12 мая. Это позволяет предположить, что контроль над процессом заражения почти установлен.
На атаке 200 тыс. рабочих станций в 150 странах хакеры пока что смогли заработать только $42 тыс. Если учесть, что за разблокировку файлов требовали $600, то тех, кто все-таки решил заплатить, оказалось меньше ста человек – по одному на страну.