Эксперты из аудиторско-консалтинговой компании PwC зафиксировали свыше трехсот новых штаммов вируса WannaCry, который с 12 мая атаковал порядка 200 тысяч компьютеров по всему миру. Руководитель российской практики услуг по информбезопасности компании Роман Чаплыгин сказал РБК, что их число с каждым часом увеличивается, поэтому в ближайшее время следует ожидать новой волны атак.
С 14 мая было выявлено три сотни установочных файлов, содержащих вредоносное программное обеспечение и их количество продолжает расти. Они работают по 3-м главным принципам и по своей сути являются копиями оригинального WannaCry. Суть первого принципа заключается в том, что вирус содержит в себе некий «выключатель», что дает возможность нейтрализовать заражение. Во втором типе такой функции нет, однако они не обладают механизмом распространения и не могут сами себя воспроизводить. Третий тип тоже не содержит «выключателя». Он распространяется с большой скоростью, однако при этом не выполняет никаких вредоносных действий. «Вероятнее всего, это было сделано по ошибке, и уже сегодня, возможно, появится новый штамм вируса, который окажется стойким против имеющихся защитных решений, выполняя при этом вредоносную нагрузку», - подчеркнул Чаплыгин.
Помимо этого, как констатирует специалист, появляются новые штаммы вируса, ставящие своей целью не просто зашифровать файлы пользователя, а и украсть их. В PwC сообщили, что сегодня силы многих лабораторий кибербезопасности сконцентрированы на том, чтоб разработать средство по расшифровке зашифрованных вирусом-вымогателем данных.
«Важно отметить тот факт, что логика работы вируса меняется. Затишье не означает, что атаки закончились, и пока не совсем понятно, какие могут быть последствия. Компаниям следует быть бдительными и продолжать защищать свои системы», - предупреждает эксперт.
Ранее распространение вируса смог заблокировать британский специалист по кибербезопасности. Он зарегистрировал домен с именем iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, название которого содержалось в коде вируса. И после того как домен стал доступен в Сети, вирус стал получать от него отклики и прекращал распространяться (в него был заложенный такой алгоритм).
Но, как сообщало издание Motherboard, создатели WannaCry поменяли код вредоносной программы и вирус снова может заражать компьютеры. Эксперты прогнозировали пик заражений на понедельник, 15 мая.
Временная передышка?
Также в Group-IB сообщили про появление модификаций WannaCry. Согласно данным компании, кто-то загрузил новую версию вируса без возможности блокировки в сервис VirusTotal, который осуществляет анализ подозрительных файлов и ссылок на различные зловреды и трояны. То есть теперь распространение вируса не можно будет остановить тем же методом, как был ликвидирован оригинальный WannaCry. Согласно версии Group-IB, вирус загрузили не авторы первоначального вируса.
«Да, существует новая версия, однако сказать, что с ее помощью появились заражения, пока мы не можем», - сказал представитель Group-IB. Но киберпреступникам понадобится совсем немного времени, чтобы модифицировать Wanna Cryptor и запустить новую атаку, и сейчас – это только «временная передышка», предупреждают в компании.
Помимо этого, специалисты Group-IB отмечают, что под угрозой в первую очередь крупные компании, «ведь чем больше компьютеров в локальной сети, тем больше хостов может быть заражено». В то время как обычным пользователям для активации вируса нужно или запустить его вручную, или иметь доступ к интернету через локальную сеть провайдера.
Сообщения о глобальной кибератаке, которой подверглись компьютеры c операционной системой Windows в 150 государствах мира, появилась 12 мая этого года. На зараженных компьютерах вирус зашифровывает файлы и требует заплатить 300 долларов или 600 долларов в биткоинах за получение к ним доступа. В ином случае на протяжении 3-х дней вирус удалит файлы. Согласно разным данным хакеры получили порядка 50 тысяч американских долларов.
Русский след?
Ранее румынские власти предположили, что за глобальной кибератакой может стоять организация, «которая связана с группировкой APT28/Fancy Bear» (ее причисляют к «русским хакерам»). В свою очередь издание The Telegraph предположило, что за атакой может стоять связанная с Российской Федерацией хакерская группировка Shadow Brokers. Газета связывала это с заявлениями хакеров, имевшими место в апреле месяце, что они якобы украли «кибероружие» американского разведывательного сообщества, что дало им доступ ко всем компьютерам с системой Windows.
Однако вчера, 15 мая, президент Владимир Путин опроверг все обвинения, касательно причастности Российской Федерации к массовой кибератаке. Путин сослался на заявление Брэда Смита (глава Microsoft), согласно словам которого доля ответственности за масштабную кибератаку лежит в частности на ЦРУ и АНБ Соединенных Штатов, занимавшихся сбором данных про уязвимости, которые впоследствии были украдены. «Что касается источника угроз, то руководство Microsoft по поводу этого заявило прямо: первичным источником вируса являются американские спецслужбы. Российская Федерация здесь абсолютно ни при чем», - прокомментировал кибератаки российский лидер.
