Вести Экономика ― За всемирной кибератакой может стоять КНДР

Add to Flipboard Magazine.

Компании Symantec и «Лаборатория Касперского» нашли доказательства того, что к глобальной кибератаке с помощью вируса-вымогателя WanaCrypt0r 2.0 могут быть причастны хакеры из Северной Кореи .

По данным экспертов, фрагменты кода, обнаруженные в ранней версии вируса WannaCry, использовались группировкой Lazarus Group, которую подозревают в связях с Пхеньяном. При этом в обеих компаниях утверждают, что пока рано говорить о причастности КНДР к атаке, поразившей более 300 тыс. компьютеров в 150 странах.

«Вы ведь помните еще наших северокорейских грабителей банков через SWIFT и ломателей Sony Pictures? Да, тех самых Lazarus, о которых мы так много [слышим] в последнее время. Детектив закручивается все сильней, и теперь один и тот же код обнаружен в #WannaCry и в троянцах от Lazarus», — написал на своей странице в Facebook главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев.

Международная кибератака:

  • Как спастись от всемирной хакерской атаки?
  • Появились новые версии вируса, но атака идет на спад
  • Сычев: финансовая система РФ отразила атаку вируса
  • Растет спрос на акции разработчиков антивирусов

В понедельник, 15 мая, эксперт из Google Нил Мехта нашел сходство между вредоносным WannaCry и «троянами», которые внедряла компания Lazarus, управляемая, по имеющимся данным, из Северной Кореи. Базирующаяся в Израиле компания Intezer Labs также солидарна с гипотезой о причастности Lazarus. Исполнительный директор компании Итаи Тевет написал в твиттере: «Intezer Labs подтверждает авторство Северной Кореи над WannaCry, и не только потому, что вирус функционирует, как программы Lazarus. Поступает дополнительная информация».

Впрочем, не стоит забывать, что определенная доля улик, которые можно обнаружить в программном коде, могла быть вписана туда специально, с тем чтобы запутать следствие.

Хакеров из группировки Lazarus обвиняют в краже $81 млн со счетов ЦБ Бангладеш, которая произошла в феврале 2016 г. Сотрудники регулятора не смогли вовремя отследить атаку, хакеры перевели деньги на счета на Филиппины и Шри-Ланку.

Массированная хакерская атака началась в пятницу, 12 мая, в по меньшей мере 150 странах и, по подсчетам Европейского полицейского агентства, затронула деятельность более 200 тыс. человек и организаций, в том числе государственных ведомств. Хакеры использовали вирус-вымогатель WannaCry, который шифрует и блокирует данные и требует заплатить за восстановление от $300 до $600 в биткоинах. В противном случае вирус обещает удалить файлы в течение трех дней.

Кибератака на компьютеры в Европе и Азии вывела из строя работу целого ряда различных организаций. В Великобритании WannaCry поразил компьютеры около 40 больниц. В результате медучреждения оказались не в состоянии принимать пациентов, включая тех, кому требовалась экстренная помощь. Самое большое количество атак было зафиксировано в России, где под удар попали серверы Минздрава, Сбербанка, МВД, «МегаФона» и других организаций.

Из-за вируса вышли из строя серверы таких крупных компаний, как Renault, немецкая железнодорожная Deutche Bahn, испанская телекоммуникационная Telefonica.

Остановить атаку удалось одному из программистов в Великобритании, обнаружившему в коде вируса адрес iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, к которому обращалась вредоносная программа. Код вируса проверял, присутствует ли в интернете домен с таким адресом. Если результат отрицательный — вирус продолжал свою работу. Этот механизм, по словам специалистов, был своего рода рубильником, на случай если надо было отключить вирус. Регистрация этого адреса за $10 позволила временно остановить распространение WannaCry.

Второй вариант, появившийся на днях, по всей видимости, умеет обходить киллсвитч (killswitch) – ту особенность в коде программы, которая помогла остановить первую волну атак. Хакеры выпустили обновленную версию вируса, которая вновь начала атаковать компьютеры. WannaCry попадает на ПК через уязвимость в Windows. Компания Microsoft закрыла ее, причем обновления были выпущены даже для тех версий Windows, поддержка которых была завершена.

Количество попыток атак WannaCry, задетектированных «Лабораторией Касперского» в понедельник 15 мая, снизилось в шесть раз по сравнению с аналогичным показателем пятницы, 12 мая. Это позволяет предположить, что контроль над процессом заражения почти установлен.

На атаке 200 тыс. рабочих станций в 150 странах хакеры пока что смогли заработать только $42 тыс. Если учесть, что за разблокировку файлов требовали $600, то тех, кто все-таки решил заплатить, оказалось меньше ста человек – по одному на страну.

Комментирование и размещение ссылок запрещено.

Комментарии закрыты.