Кто может стоять за внедрением атаковавшего мир вируса?
Хакеры, организовавшие 12 мая кибератаки по всему миру, использовали модифицированную вредоносную программу Агентства национальной безопасности (АНБ) США. Об этом пишет издание Financial Times со ссылкой на аналитиков в области кибербезопасности. По словам экспертов, инструмент американских разведслужб, известный как Eternal Blue, был совмещен с «программой-вымогателем» WannaCry. Программа, разработанная АНБ, позволяет вирусу распространиться через протоколы обмена файлами, которые установлены на компьютерах многих организаций. С этой оценкой согласны несколько чиновников в органах безопасности западных стран, отмечает газета. Эксперты по безопасности из MalwareHunterTeam и «Лаборатории Касперского» также сошлись во мнениях, что компьютеры атакованы вирусом WannaCry.
Американская газета Politico сообщила, что злоумышленники, требующие выкуп за восстановление работы компьютерных сетей, использовали шпионское ПО, которое ранее распространила группа хакеров, выступающая под псевдонимом Shadow Brokers. Они утверждали, что получили доступ к якобы разработанным АНБ программам.
Бывший сотрудник американских спецслужб Эдвард Сноуден на своей странице в сети Twitter высказал мнение, то АНБ косвенно несет ответственность за кибератаку, поразившую в пятницу десятки тысячи компьютеров в десятках стран мира, в том числе в больницах Великобритании. «Вот это да: решение АНБ создать инструменты для атаки на американское программное обеспечение сейчас угрожает жизни пациентов в больницах», — написал Сноуден. «Несмотря на предупреждения, АНБ создала опасные инструменты для проведения атак, которые могут поражать западное программное обеспечение, сегодня мы видим, чего это стоило», — добавил он. «Если бы АНБ сообщило бы об уязвимости программы, когда она обнаружила ее, то больницы имели бы годы — не месяцы — на то, чтобы подготовиться», — добавил бывший сотрудник спецслужб США. «В свете сегодняшней атаки, Конгресс должен спросить у АНБ, известно ли ему о других уязвимостях в программном обеспечении, которое используется в наших больницах», — считает Сноуден.
Британская газета Telegraph высказала предположение о наличии «российского следа» в массированной кибератаке. По мнению журналистов, хакерская группа Shadow Brokers начала заражать компьютеры вирусом вскоре после ударов США по Сирии, что, по мнению «некоторых экспертов» издания, якобы свидетельствует о связи кибермошенников с Россией. При этом газета никаких доказательств, подтверждающих подобные умозаключения, в статье не приводит. Как пишет Telegraph, на следующий день после нанесения ударов группировка опубликовала «предупреждение» Трампу, осудив это решение. А еще спустя неделю, 14 апреля, Shadow Brokers совершила хакерскую атаку, использовав вредоносную программу, разработанную американским Агентством национальной безопасности (АНБ). Эта же программа, как предполагается, была использована и в последних атаках.
Какие страны подверглись атаке?
Компания «Лаборатория Касперского» зафиксировала 45 тысяч попыток хакеров атаковать компьютеры по всему миру с помощью вируса-шифровальщика. Хакеры пытались атаковать компьютеры в 74 странах. В частности, под ударом оказались Великобритания, Испания, Италия, Германия, Португалия, Турция, Украина, Казахстан, Индонезия, Вьетнам, Япония и Филиппины. Из-за действий хакеров была нарушена работа 40 британских больниц по всей стране. Атака коснулась больниц в Лондоне, Блэкберне, Ноттингеме, графствах Камбрии и Хартфордшире. В результате была нарушена работа отделений экстренной помощи, отменены плановые осмотры и операции, а машины скорой, в которой компьютеры еще продолжили работать, пришлось направить в больницы. Управление Национальной системы здравоохранения (NHS) по Англии объявило, что рассматривает ситуацию как «серьезный инцидент». В Испании пострадала телекоммуникационная компания Telefónica. В Германии, по данным пользователей соцсетей, атаке подверглась главная немецкая железнодорожная компания Deutsche Bahn. В Бразилии была нарушена работа сразу нескольких государственных учреждений, включая систему социального обеспечения. Государственная нефтегазовая компания Petrobras и министерство иностранных дел страны отключили свои системы в качестве меры предосторожности. Сайт МИД был недоступен в течение всего дня.
По информации «Лаборатории Касперского», наибольшее число попыток заражений наблюдается в России.
Разработчики антивируса Avast ранее сообщили о 57 тысячах хакерских атак с использованием вируса WanaCrypt0r 2.0. По данным компании, в первую очередь вирус распространяется в России, Украине и на Тайване. Группа экспертов по кибербезопасности MalwareHunterTeam также утверждает, что больше всех в результате атаки пострадали серверы на территории России и Тайваня.
На серверы каких российских организаций и компаний распространилась атака?
В МВД России сообщили, что Департаментом информационных технологий, связи и защиты была зафиксирована вирусная атака на персональные компьютеры ведомства, на которых установлена операционная система Windows. «Благодаря своевременно принятым мерам было блокировано порядка тысячи зараженных компьютеров, что составляет менее 1%», — сказала официальный представитель Министерства внутренних дел РФ Ирина Волк. По ее словам, серверные ресурсы МВД не подвергались заражению благодаря использованию иных операционных систем и отечественных серверов с российским процессором «Эльбрус». «В настоящее время выявленная активность вируса локализована. Утечки служебной информации с информационных ресурсов МВД России не допущено», — добавила Волк.
Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (ФинЦЕРТ) зафиксировал массовые рассылки банкам вредоносного программного обеспечения. «Вместе с тем, фактов компрометации ресурсов кредитных организаций не зафиксировано», — сказали в Банке России.
О попытках хакерских атак также сообщили в пресс-службах Сбербанка и РЖД. От вируса пострадал и российский оператор связи «Мегафон». Кибератака нарушила работу службы поддержки абонентов и некоторых точек продаж.