В пятницу 12 мая организации по всему миру пострадали от масштабной атаки программы-вымогателя, получившей название WannaCry. Зловред проникал на компьютер через уязвимость (для которой уже выпущено закрывающее обновление) в Microsoft Windows – о ней стало известно еще 14 апреля из документов, опубликованных группировкой Shadowbrokers.
На протяжении всех этих дней «Лаборатория Касперского» внимательно следила за развитием ситуации и изучала угрозу.
Эволюция программы-вымогателя
Общее число вариаций зловреда, циркулирующих в Сети в понедельник 15 мая, до сих пор неизвестно. Однако за выходные дни (13-14 мая) появилось две заметных модификации. «Лаборатория Касперского» полагает, что ни один из этих вариантов не был создан авторами оригинального вымогателя – скорее всего, за ними стоят другие игроки киберпреступного мира, которые решили воспользоваться ситуацией в своих интересах.
Первый из двух упомянутых образцов зловреда начал распространяться рано утром в воскресенье, приблизительно в 4 часа по московскому времени. Он подключался к другому домену. На данный момент «Лаборатория Касперского» обнаружила три жертвы этого варианта вымогателя – в России и Бразилии.
Второй вариант, появившийся на днях, по всей видимости, умеет обходить так называемый киллсвитч (killswitch) – ту особенность в коде программы, которая помогла остановить первую волну атак. Однако не похоже, что этот вариант получил распространение, возможно, из-за ошибки в коде.
Число заражений
Анализ сетевых журналов дает основания предполагать, что вымогатель WannaCry начал распространяться в четверг 11 мая.
Установить точное число заражений сложно. «Лаборатория Касперского» зафиксировала более 45 тысяч попыток атак на пользователей во всем мире. Однако это только часть всех попыток атак (данные отражают лишь долю пользователей продуктов «Лаборатории Касперского»).
Более точно оценить ситуацию позволяют данные с сервера, соединение с которым было запрограммировано в большинстве версий WannaCry (тот самый киллсвитч). Так, в настоящее время на сервере Malwaretech, собирающем перенаправления с киллсвитч-кода, зарегистрировано более 200 тысяч нотификаций о заражении.
Вместе с тем это число не включает в себя заражения внутри корпоративных сетей, где для подключения к Интернету требуется прокси-сервер. То есть реальное число жертв может быть больше.
Количество попыток атак WannaCry, задетектированных «Лабораторией Касперского» в понедельник 15 мая, снизилось в шесть раз по сравнению с аналогичным показателем пятницы, 12 мая. Это позволяет предположить, что контроль над процессом заражения почти установлен.
Мы рекомендуем компаниям предпринять ряд мер для снижения рисков заражения:
Техническая информация
Более подробную информацию об атаках WannaCry можно найти в отчетах «Лаборатории Касперского»: https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world и https://securelist.com/blog/research/78411/wannacry-faq-what-you-need-to-know-today/. Обновленный отчет с последними данными об угрозе будет опубликован в ближайшее время.
Согласно данным «Лаборатории Касперского» и ISC SANS, 15 мая количество обращений к порту 445, через который троянец проникает в систему, существенно сократилось. Это также говорит в пользу того, что атака идет на убыль.