Организации по всему миру пытаются избавиться от последствий хакерской атаки, совершенной с помощью программы-вымогателя WannaCry, а сотрудники компаний и служб кибербезопасности пытаются вычислить, кто же стоит за этими нападениями.
Известно, что вирус использует уязвимость в ПО Windows, которую изначально обнаружило Агентство национальной безопасности Соединенных Штатов, а кто-то другой использовал ее в преступных целях. На сегодняшний день неизвестно, кто именно сделал это, и где находятся эти люди.
Некоторые эксперты в области кибербезопасности вчера, 15 мая, сообщили, что нашли некоторые технические улики в WannaCry и что на их основании можно заподозрить в причастности к созданию и пуску вируса Северной Кореи.
«Лаборатория Касперского» и Symantec сказали, что более ранняя версия кода WannaCry появлялась в программах так называемой Lazarus Group, которая считается северокорейской хакерской организацией. Одновременно с этим обе компании отмечают, что делать выводы касательно причастности Северной Кореи к недавней массовой кибератаке преждевременно.
Так, Микко Хиппонен, возглавляющий исследовательский отдел компании F-Secure, заявил, что анализ программы-вымогателя еще не выявил твердых доказательств.
Первая версия данного вируса появилась еще 10 февраля, и использовалась в рамках небольшой кампании рэкета, начавшейся 25 марта. WannaCry 1.0 распространялся с помощью спама и «заминированных» сайтов, однако на эту «удочку» практически никто не попался. Версия 2.0, которая захватила компьютеры по всему миру, была почти идентична первой. Исключением являлся только модуль, превращающий программу в «червя», который способен самостоятельно распространяться.
Дело рук новичков?
Другие специалисты, основываясь на разных признаках, склоняются к выводу, что WannaCry является делом рук какой-то новой кибергруппировки.
Многие указывают на то, что WannaCry не испытывает проблем с проникновением в системы, использующие кириллицу. По контрасту с этим многие вышедшие из России вредоносные программы старались избегать заражения машин, которые работают на кириллице.
Эксперты, изучающие программный код, до сих пор не смогли найти в нем каких-то специфических черт, которые могли бы дать хоть какую-то зацепку о его создателях.
Помимо этого, метка времени создания кода говорит о том, что он был создан на компьютере в 9-часовых поясах к востоку от Гринвича. Это дает основания предполагать, что его авторы могли пребывать в Японии, Китае, Индонезии, Корее, на Филиппинах либо в российском Дальнем Востоке.
Имеют место и иные признаки того, что WannaCry является делом рук относительных новичков в таких вымогательствах. Во-первых, WannaCry оказался чрезвычайно успешным, и нанес удар по 200 тысячам компьютеров. Это в разы больше обычного. Собирать выкуп с такого огромного количества жертв – это чрезвычайно трудоемкое занятие. А во-вторых, авторы WannaCry не зарегистрировали адрес домена, прописанный в коде вируса. Адрес работает как рубильник, который прекращает распространение вируса. Специалист Маркус Хатчинс зарегистрировал адрес того домена сам и благодаря этому он, даже неожиданно для себя самого, смог остановить распространение вируса.
Теперь специалисты пытаются понять, интересовался ли кто-нибудь этим доменным адресом раньше, и можно ли вычислить, где находились эти люди. Однако также не стоит забывать и про то, что определенная часть улик, которые можно найти в программном коде, вписана туда специально, чтобы запутать следствие.
Третий момент заключается в том, что организаторы кибернападений с целью рэкета как правило создают только один адрес, куда следует посылать им биткоины, ибо так им проще определить, кто расплатился с ними и кому можно возвращать контроль над компьютером. А WannaCry использует сразу 3 аккаунта биткоинов, что значительно затруднит работу вымогателей, если они, конечно, вообще планировали размораживать захваченные компьютеры.
Платить или не платить?
Национальное агентство по борьбе с преступностью Британии советует не платить вымогателям. Так, доктор Джеймс Смит из компании Elliptic, анализирующая транзакции в блочной цепи биткоина, отмечает, что как раз оплата выкупа биткоинами способна вывести на след мошенников, поскольку блокчейн публично регистрирует, когда и кто потратил биткоины. «В конце концов, они хотят денег, и рано или поздно собранные средства будут куда-нибудь перенаправлены, - поясняет специалист. – Правда, когда именно это случится , неизвестно, и, как мы считаем, это зависит от того, сколько денег будет им перечислено на протяжении ближайших нескольких дней».
На этот момент на адреса биткоинов было переведено свыше пятидесяти тысяч американских долларов. «Все очень внимательно отслеживают эти адреса», - отмечает доктор Джеймс Смит.
Отметим, по данным Европола программа-вымогатель WannaCry с 12 мая поразила более 200 тысяч компьютеров в 150 государствах. Сейчас организации по всему миру пытаются избавиться от последствий хакерской атаки, а сотрудники компаний и служб кибербезопасности пытаются вычислить, кто же стоит за этими нападениями. Существует много предположений, но точно пока никто не может сказать, кто сделал это, и где он находится.
