В пятницу более 70 стран, включая Россию, США, Великобританию, Китай, Италию, подверглись масштабной хакерской атаке. Вирус, попадая на компьютер, зашифровывал все файлы на нем и требовал выкуп. В России от действий киберпреступников пострадали компания «МегаФон» и компьютерные системы Министерства внутренних дел (МВД). По данным СМИ, организовавшие атаки хакеры использовали программное обеспечение, которое применяло Агентство национальной безопасности США. Позже распространение вируса приостановили регистрацией доменного имени.
В пятницу были зафиксированы несколько десятков тысяч попыток заражения программой-шифровальщиком компьютеров по всему миру, а за расшифровку данных злоумышленники требовали заплатить выкуп в биткоинах. Как сообщает Politico, организовавшие атаки хакеры использовали модифицированное программное обеспечение Агентства национальной безопасности, которое в апреле в результате утечки попало в Интернет. «Лаборатория Касперского» зафиксировала порядка 45 тыс. попыток атак в разных странах. «Атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010, после чего на зараженную систему устанавливался набор скриптов, используя который злоумышленники запускали программу-шифровальщик»,— приводит «Интерфакс» слова представителя компании.
В Великобритании киберпреступники потребовали выкуп от медицинского персонала больниц по всей Англии — за доступ к зашифрованным больничным данным хакеры требовали также по $300. Вирус-вымогатель получил название WannaCry.
В числе атакованных хакерами стран — Россия, которая, по данным СМИ, пострадала больше всего. Директор по связям с общественностью «МегаФона» Петр Лидов подтвердил, что столичный офис компании подвергся хакерской атаке. «Компьютеры вышли из строя — на них появился экран блокировки, где просили $300 за разблокировку»,— рассказал он.
Попытка атаки была проведена и на системы информационной безопасности «ВымпелКома», сообщает РБК. По словам представителя оператора Анны Айбашевой, хакеры пытались атаковать и системы информационной безопасности оператора, однако специалисты смогли отразить атаки. Представитель МТС Дмитрий Солодовников сообщил, что у оператора таких случаев не зафиксировано.
По словам Петра Лидова, специалистам пришлось отключить сети на каком-то этапе, чтобы вирус не распространялся дальше. «Ряд регионов задело, остальные превентивно пришлось временно отключить. Это коснулось ритейла и службы поддержки абонентов, потому что операторы, естественно, пользуются ПК для доступа в базы. Колл-центры починили. На связь и личные кабинеты это не повлияло»,— сообщил он. То же самое произошло у абонентов операторов Telefonica и Vodafone в Испании.
Газета.ru со ссылкой на источник сообщила о том, что были атакованы компьютерные системы МВД и Следственного комитета России (СКР). Позже официальный представитель Министерства внутренних дел Ирина Волк подтвердила, что персональные компьютеры ведомства подверглись вирусной атаке. «Департаментом информационных технологий, связи и защиты МВД России была зафиксирована вирусная атака на персональные компьютеры ведомства, находящиеся под управлением операционной системы Windows. Благодаря своевременно принятым мерам было блокировано порядка тысячи зараженных компьютеров, что составляет менее 1%»,— сказала она, отметив, что серверные ресурсы не подверглись заражению.
Представитель Microsoft Кристина Давыдова рассказала “Ъ”, что специалисты добавили обнаружение и защиту от новой вредоносной программы, известной как Ransom:Win32.WannaCrypt. «В марте мы также представили дополнительную защиту от вредоносного ПО подобного характера вместе с обновлением безопасности, которое предотвращает распространение вредоносного ПО по сети»,— сообщила она.
По данным источников “Ъ”, атака была столь мощной, что определенное время не работали даже официальные сайты подразделений МВД. Например, по Москве, Калужской, Липецкой и Пензенской областях. Проблемы были и в работе центрального сайта ведомства. После того, как работа восстановилась, на сайтах появилась бегущая строка: «Уважаемые посетители, приносим свои извинения за возможные неудобства при работе с сайтом, ведутся технические работы». При этом в СКР все сайты работали без перебоев. «Никаких хакерских атак на ресурсы Следственного комитета не было. Все работает в штатном режиме»,— сообщила представитель ТАСС СКР Светлана Петренко.
Как рассказал “Ъ” исследователь из Digital Security Борис Рютин, эксперты MalwareHunterTeam и другие независимые исследователи сходятся во мнении, что это вредоносная программа типа ransomware, то есть вирус-вымогатель. «Опасность заражения в том, что в зависимости от реализации, файлы пользователя могут быть безвозвратно утеряны»,— уточнил он.
В субботу специалист по информационной безопасности, который ведет Twitter-аккаунт @MalwareTechBlog, сообщил, что распространение вируса-вымогателя WannaCrypt (Wanna Decryptor) удалось приостановить, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Он заметил в коде вируса обращение к этому домену и решил его зарегистрировать.
#WannaCry propagation payload contains previously unregistered domain, execution fails now that domain has been sinkholed pic.twitter.com/z2ClEnZAD2
— Darien Huss (@darienhuss) 12 мая 2017 г.