Атака на Россию: силовики и телеком
Вечером 12 мая появилась информация об атаках хакеров на сети российских телекоммуникационных компаний («Мегафон», «Вымпелком»), а также силовых ведомств.
«У нас на ряде компьютеров появились предупреждения с [требованием выкупа в] $300, охват был довольно большой. Это никак не повлияло на связь и абонентов, так как вирус атаковал только наши компьютеры», — рассказал РБК представитель «Мегафона» Петр Лидов-Петровский.
Он пояснил, что IT-специалистам пришлось отключить сети, чтобы вирус не распространился дальше, «это повлияло на некоторые ретейл-офисы и отдельные услуги». Представитель «Мегафона» отметил, что компания ликвидирует вредоносную программу совместно с «Лабораторией Касперского». К 21:30 мск «Мегафон» сообщила о восстановлении работы кол-центра после атаки хакеров.
Попытка атаки была проведена и на системы информационной безопасности «Вымпелкома» (оказывает услуги под брендом «Билайн»). По словам представителя оператора Анны Айбашевой, хакеры пытались атаковать и системы информационной безопасности оператора, однако специалисты смогли отразить атаки.
Представитель МТС Дмитрий Солодовников сообщил, что у оператора таких случаев не зафиксировано. «На всякий случай дополнительно мониторим ситуацию», — говорит он.
Помимо телекоммуникационных компаний, жертвами атак хакеров, по словам источников РБК, а также «Газеты.Ru» и «Медиазоны», стали силовые ведомства России — МВД и Следственный комитет.
Собеседник РБК в МВД рассказал об атаке на внутренние сети ведомства. По его словам, атаке подверглись в основном региональные управления министерства. Он уточнил, что вирус поразил компьютеры как минимум в трех областях европейской части России. Источник добавил, что на работе МВД эта атака не должна отразиться. Другой собеседник РБК в министерстве рассказал, что хакеры могли получить доступ к базам МВД, но неизвестно, успели ли они скачать оттуда информацию. Атака на МВД затронула только те компьютеры, на которых давно не обновлялась операционная система, рассказал собеседник в ведомстве. Работа министерства не парализована хакерами, но сильно затруднена.
Позднее МВД официально подтвердило, что была зафиксирована вирусная атака на персональные компьютеры ведомства, находящиеся под управлением операционной системы Windows. Всего было заражено около 1 тыс. компьютеров (0,1%), которые были оперативно блокированы, пояснили в ведомстве. Серверные ресурсы МВД не подвергались заражению, подчеркнули в МВД. «В настоящий момент вирус локализован, проводятся технические работы по его уничтожению и обновлению средств антивирусной защиты», — говорится в сообщении МВД.
По данным собеседника «Газеты.Ru» в силовых структурах, атаке также подверглись серверы Следственного комитета России. Вирус, как утверждает источник, шифрует файлы на жестком диске и блокирует экран устройств.
Представитель СКР Светлана Петренко опровергла ТАСС информацию об атаках хакеров на внутренние сети. По ее словам, все работает в штатном режиме. В пресс-службе МВД России также не подтвердили информацию о заражении вирусом внутренней компьютерной сети. «У нас все работает», — сказал представитель ведомства.
МЧС России сообщило, что зафиксировало несколько попыток атак на свои компьютеры, но смогло их отразить. Как заявили ТАСС в пресс-службе спасательного ведомства, все попытки вирусных атак на компьютеры были блокированы, заражению не подвергся ни один компьютер. «Все интернет-ресурсы МЧС России работают в штатном режиме», — подчеркнул представитель МЧС.
Финансовый сектор России от глобальной хакерской атаки не пострадал, сообщил РБК источник, близкий к FinCERT (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере) ЦБ. «Все находится под контролем, все участники рынка предупреждены о совершенной угрозе», — сказал источник РБК. Позже Банк России заявил, что FinCERT зафиксировал массовые рассылки банкам вируса, однако осуществить атаку не удалось, передает «Интерфакс». Сбербанк сообщил об отражении атаки и переведении своих IT-специалистов в режим повышенной готовности.
Об отражении хакерской атаки также сообщили в Минздраве России. Помимо этого, Российские железные дороги заявили, что хакеры попытались взломать IT систему компании. Вирус был локализован, атака не повлияла на режим работы железных дорог.
Мировые масштабы
Хакерские атаки 12 мая происходили не только в России, но и во всем мире. По оценке «Лаборатории Касперского», было проведено 45 тыс. попыток взлома в 74 странах. При этом большая часть попыток взлома пришлась на Россию.
Компания Intel создала онлайн-карту атак вируса WannaCryptor по всему миру.
Днем 12 мая хакеры атаковали серверы больниц в Великобритании. На экранах зараженных компьютеров появлялись сообщения с требованиями злоумышленников. Надписи в мониторах гласили, что хакеры готовы разблокировать сети при получении $300 (в биткоинах).
Из-за масштабного сбоя некоторые пациенты не смогли получить медицинскую помощь. Полиция уже занялась расследованием этого инцидента. Позже сообщения о хакерских атаках стали поступать от разных европейских организаций. Об этом, в частности, заявила Румынская служба информации и испанские телекоммуникационная компания Telefonica и банк Santander, передавал Reuters.
В Германии хакеры атаковали сервисы компании Deutsche Bahn, которая является основным железнодорожным оператором страны. Об этом сообщил телеканал ZDF со ссылкой на МВД страны.
Министерство национальной безопасности США предложило партнерам техническую поддержку и помощь в борьбе с «программой-вымогателем» WannaCry.
Что за вирус?
Согласно сообщению «Лаборатории Касперского», вирус, о котором идет речь, — программа-шифровальщик WannaCry. «Как показал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010. Затем на зараженную систему устанавливался руткит, используя который, злоумышленники запускали программу-шифровальщик», — рассказали в компании.
«Все решения «Лаборатории Касперского» детектируют данный руткит как MEM: Trojan.Win64.EquationDrug.gen. Также наши решения детектируют программы-шифровальщики, которые использовались в этой атаке, следующими вердиктами: Trojan-Ransom.Win32.Scatter.uf, Trojan-Ransom.Win32.Fury.fr, PDM: Trojan.Win32.Generic (для детектирования данного зловреда компонент System Watcher должен быть включен)», — отметили в компании.
Для снижения рисков заражения специалисты «Лаборатории Касперского» советуют пользователям установить официальный патч от Microsoft, который закрывает используемую в атаке уязвимость, а для предупреждения подобных инцидентов использовать сервисы информирования об угрозах, чтобы своевременно получать данные о наиболее опасных атаках и возможных заражениях.
Хакерскую атаку прокомментировали и в Microsoft. «Сегодня наши специалисты добавили обнаружение и защиту от новой вредоносной программы, известной как Ransom: Win32.WannaCrypt. В марте мы также представили дополнительную защиту от вредоносного ПО подобного характера вместе с обновлением безопасности, которое предотвращает распространение вредоносного ПО по сети. Пользователи нашего бесплатного антивируса и обновленной версии Windows защищены. Мы работаем с пользователями, чтобы предоставить дополнительную помощь», — говорится в заявлении представителя Microsoft в России, поступившем в РБК.
Представитель Solar Security заявил РБК, что компания видит атаку и в настоящий момент исследует образец вируса. «Сейчас мы не готовы делиться деталями, но зловред явно написан профессионалами. Пока нельзя исключать, что он представляет собой нечто более опасное, чем шифровальщик. Уже очевидно, что скорость его распространения беспрецедентно высокая», — сказал собеседник. По его словам, ущерб от вируса «огромен», он задел крупные организации в 40 странах мира, но точную оценку пока дать невозможно, поскольку возможности зловреда еще не до конца изучены и атака сейчас находится в развитии.
Генеральный директор Group-IB Илья Сачков рассказал РБК, что программы-шифровальщики, аналогичные той, что использовалась при нынешней атаке, — это нарастающий тренд. В 2016 году количество таких атак увеличилось более чем в сто раз по сравнению с предыдущим годом, уточнил он.
Сачков отметил, что, как правило, заражение устройства в таком случае происходит через электронную почту. Говоря о WannaCry, эксперт отметил, что у этой программы-шифровальщика есть две особенности. «Во-первых, она использует эксплоит ETERNALBLUE, который был выложен в открытый доступ хакерами Shadow Brokers. Патч, закрывающий эту уязвимость, для ОС Windows Vista и старше, стал доступен 9 марта в составе бюллетеня MS17-010. При этом патча для старых ОС вроде Windows XP и Windows server 2003 не будет, так как они выведены из-под поддержки», — рассказал он.
«Во-вторых, помимо шифрования файлов она осуществляет сканирование интернета на предмет уязвимых хостов. То есть, если зараженный компьютер попал в какую-то другую сеть, вредоносное ПО распространится и в ней тоже, — отсюда и лавинообразный характер заражений», — добавил Сачков.
Защиту от подобных атак, по словам Сачкова, можно обеспечить, используя решения класса «песочница», которые устанавливаются в сеть организации и проверяют все файлы, приходящие на почту сотрудникам или скачиваемые ими из интернета. Кроме того, напомнил эксперт, важно проводить с сотрудниками разъяснительные беседы об основах «цифровой гигиены» — не устанавливать программы из непроверенных источников, не вставлять в компьютер неизвестные флэшки и не переходить по сомнительным ссылкам, а также вовремя обновлять ПО и не использовать ОС, которые не поддерживаются производителем.
Кто виноват
Кто стоит за масштабной кибератакой, пока не ясно. Экс-сотрудник АНБ Эдвард Сноуден допустил, что при глобальной хакерской атаке, случившейся 12 мая, мог быть использован вирус, разработанный АНБ. О такой возможности ранее заявил WikiLeaks.
В свою очередь власти Румынии предположили, что за попыткой атаки может стоять организация, «связанная с группировкой киберпреступности APT28/Fancy Bear», которую традиционно причисляют к «русским хакерам».
The Telegraph предполагает, что за атакой может стоять группировка Shadow Brokers, связанная с Россией. Они связывают это с заявлениями хакеров, прозвучавшими в апреле, что они якобы украли «кибероружие» разведывательного сообщества США, что дает им доступ ко всем компьютерам с ОС Windows.