WannaCry

10.03.2021

WannaCry (в переводе означает «хочется плакать», также известна как WannaCrypt, WCry, WanaCrypt0r 2.0 и Wanna Decryptor) — вредоносная программа, сетевой червь и программа-вымогатель денежных средств, поражающая компьютеры под управлением операционной системы Microsoft Windows. После заражения компьютера программный код червя шифрует почти все хранящиеся на компьютере файлы и предлагает заплатить денежный выкуп в криптовалюте за их расшифровку. В случае неуплаты выкупа в течение 7 дней с момента заражения возможность расшифровки файлов теряется навсегда.

Массовое распространение WannaCry началось 12 мая 2017 года — одними из первых были атакованы компьютеры в Испании, а затем и в других странах. Среди них по количеству заражений лидируют Россия, Украина и Индия. В общей сложности, за короткое время от червя пострадало 500 тысяч компьютеров, принадлежащих частным лицам, коммерческим организациям и правительственным учреждениям, в более чем 200 странах мира. Распространение червя блокировало работу множества организаций по всему миру: больниц, аэропортов, банков, заводов и др. В частности, в ряде британских госпиталей было отложено выполнение назначенных медицинских процедур, обследований и срочных операций.

Сетевой червь WannaCry использует для заражения компьютеров уязвимость операционных систем Windows, информация о которой, предположительно, была известна Агентству национальной безопасности (АНБ) США. Хакерской группировкой Equation Group, связанной с АНБ, были созданы эксплойт EternalBlue и бэкдор DoublePulsar, позволяющие использовать данную уязвимость для заражения компьютера и получения доступа к нему. Впоследствии информация об уязвимости и программы для её использования были украдены у АНБ хакерской группировкой The Shadow Brokers и опубликованы в общем доступе. Сам червь WannaCry был создан и запущен неизвестными злоумышленниками с помощью украденной у АНБ информации. Основным подозреваемым считается хакерская группировка Lazarus Group, предположительно связанная с правительством КНДР.

Метод атаки

Вредоносная программа сканирует диапазон IP-адресов локальной сети и случайно выбранные IP-адреса сети Интернет в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar, через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

После запуска вредоносная программа действует как классическая программа-вымогатель: она генерирует уникальную для каждого инфицированного компьютера пару ключей асимметричного алгоритма RSA-2048. Затем WannaCry начинает сканировать систему в поисках пользовательских файлов определённых типов, оставляя критические для дальнейшего её функционирования нетронутыми. Каждый отобранный файл шифруется по алгоритму AES-128-CBC уникальным (случайным) для каждого из них ключом, который в свою очередь шифруется открытым RSA-ключом инфицированной системы и сохраняется в заголовке зашифрованного файла. При этом к каждому зашифрованному файлу добавляется расширение .wncry. Пара RSA-ключей инфицированной системы шифруется открытым ключом злоумышленников и отправляется к ним на серверы управления, расположенные в сети Tor, после чего все ключи из памяти инфицированной машины удаляются. Завершив процесс шифрования, программа выводит на экран окно с требованием перевести определённую сумму в биткойнах (эквивалентную 300 долларам США) на указанный кошелёк в течение трёх дней. Если выкуп не поступит своевременно, то его сумма будет автоматически удвоена. На седьмой день, если WannaCry не будет удалён с инфицированной системы, зашифрованные файлы уничтожаются. Сообщение выводится на языке, соответствующем установленному на компьютере. Всего программой поддерживается 28 языков. Параллельно с шифрованием программа проводит сканирование произвольных адресов Интернета и локальной сети для последующего заражения новых компьютеров.

Согласно исследованию компании Symantec, алгоритм отслеживания злоумышленниками индивидуальных выплат каждой жертвы и отправки ей ключа для расшифровки реализован с ошибкой состояния гонки. Это делает выплаты выкупа бессмысленными, поскольку индивидуальные ключи в любом случае не будут присланы, а файлы так и останутся зашифрованными. Однако существует надёжный метод расшифровать пользовательские файлы размером менее 200 МБ, а также некоторые шансы восстановить файлы большего размера. Кроме того, на устаревших системах Windows XP и Windows Server 2003 из-за особенностей реализации в системе алгоритма вычисления псевдослучайных чисел даже возможно восстановить закрытые RSA-ключи и расшифровать все пострадавшие файлы, если компьютер не перезагружался с момента заражения. Позднее группа французских экспертов по кибербезопасности из компании Comae Technologies расширила эту возможность до Windows 7 и реализовала её на практике, опубликовав в открытом доступе утилиту WanaKiwi, позволяющую расшифровать файлы без выкупа.

В коде ранних версий программы был предусмотрен механизм самоуничтожения, так называемый Kill Switch, — программа проверяла доступность двух определённых Интернет-доменов и в случае их наличия полностью удалялась из компьютера. Это 12 мая 2017 года первым обнаружил Маркус Хатчинс, 22-летний вирусный аналитик британской компании Kryptos Logic, пишущий в Twitter’е под ником @MalwareTechBlog, и зарегистрировал один из доменов на своё имя. Таким образом, ему удалось временно частично заблокировать распространение данной модификации вредоносной программы. 14 мая был зарегистрирован и второй домен. В последующих версиях вируса данный механизм самоотключения был удалён, однако это было сделано не в исходном программном коде, а путём редактирования исполняемого файла, что позволяет предполагать происхождение данного исправления не от авторов оригинальной WannaCry, а от сторонних злоумышленников. В результате был повреждён механизм шифрования, и данная версия червя может только распространять себя, находя уязвимые компьютеры, но не способна наносить им непосредственный вред.

Высокая скорость распространения WannaCry, уникальная для программы-вымогателя, обеспечивается использованием опубликованной в феврале 2017 года уязвимости сетевого протокола SMB операционной системы Microsoft Windows, описанной в бюллетене MS17-010. Если в классической схеме программа-вымогатель попадала на компьютер благодаря действиям самого пользователя через электронную почту или веб-ссылку, то в случае WannaCry участие пользователя полностью исключено. Минимальная продолжительность времени между обнаружением уязвимого компьютера и полным его заражением составляет порядка 3 минут.

Компанией-разработчиком подтверждено наличие уязвимости абсолютно во всех пользовательских и серверных продуктах, имеющих реализацию протокола SMBv1 — начиная с Windows XP/Windows Server 2003 и заканчивая Windows 10/Windows Server 2016. 14 марта 2017 года Microsoft выпустила серию обновлений, призванных нейтрализовать уязвимость во всех поддерживаемых ОС. После распространения WannaCry компания пошла на беспрецедентный шаг, выпустив 13 мая также обновления для продуктов с истекшим сроком поддержки (Windows XP, Windows Server 2003 и Windows 8).

Хронология событий

12 мая 2017 года червь распространился по миру. Атаке подверглись многие страны, но больше всего инфицированных компьютеров в нескольких странах — на Украине, в России, Индии и Тайване.

Сначала были атакованы ПК в Испании в компаниях Telefónica, Gas Natural, Iberdrola, занимающейся поставкой электричества, Centro Nacional de Inteligencia, банке Santander и филиале консалтинговой компании KPMG. В Великобритании были инфицированы компьютеры в больницах (NHS trusts), а в Испании — испанская телекоммуникационная компания «Telefónica», одна из крупнейших телефонных компаний в мире (четвёртая по размеру количества абонентов). В Германии были инфицированы компьютеры Deutsche Bahn.

В России пострадали министерства (МВД России), МегаФон. Сообщения об успешных атаках на Сбербанк и МЧС были опровергнуты этими организациями. Пострадали информационные системы РЖД, однако червь был быстро локализован и не повлиял на движение поездов. Также Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (ФинЦЕРТ) сообщил, что были зафиксированы «единичные факты компрометации ресурсов кредитных организаций», но последствия этих инцидентов были устранены в кратчайшие сроки.

По состоянию на 13:20 13 мая, по данным сайта MalwareTech BotNet Tracker, инфицированы 131 233 компьютеров во всем мире, из них онлайн — 1145.

Renault остановил работу своих заводов, чтобы проверить свои ПК.

МВД России хотя сначала и опровергало заражение своей сети, позже подтвердило, что заражение произошло потому, что некоторые сотрудники ведомства подключались к интернету со своих компьютеров «посредством того или иного механизма». Ирина Волк, официальный представитель МВД России, заявила: «Серверные ресурсы МВД России не подвергались заражению благодаря использованию иных операционных систем и отечественных серверов с российским процессором „Эльбрус“». Количество заражённых ПК составило около 1000, что составляет около 1 % всего компьютерного парка. В некоторых областях РФ отдельные подразделения МВД временно не работали.

По данным Европола, по состоянию на 15 мая, WannaCry заразил порядка 200 тысяч компьютеров в более чем 150 странах мира. Однако прибыль от атаки для злоумышленников оказалась относительно небольшой: к этому времени на указанные биткойн-кошельки было проведено всего лишь 110 транзакций на общую сумму около 23,5 биткойна (примерно 65,8 тысячи долларов США). В этот же день, выступая на пресс-конференции, президент В. В. Путин, назвал ущерб для страны от всемирной кибератаки незначительным.

На 17 мая 2017 г., по мнению компании Symantec, источник и способ первоначального распространения WannaCry неизвестен. Высказанные ранее мнения о том, что атака началась путём рассылки вредоносных сообщений электронной почты, не нашли подтверждения.

По состоянию на 26 мая 2017 г., по данным сайта MalwareTech BotNet Tracker, инфицированы более 410 000 компьютеров во всем мире, из них онлайн — 170 000.

Для приёма выкупа от жертв используются три прописанных в программе электронных кошелька. Как и во всех таких случаях, их баланс и информация о денежных переводах являются общедоступными, в то время как владелец кошелька остаётся неизвестным. По состоянию на 25 мая 2017 г., на счета злоумышленников совершенно 302 перевода на общую сумму 126 742 долларов США.

По состоянию на 6 июня 2017 г., по данным сайта MalwareTech BotNet Tracker, заражены более 520 000 компьютеров и 200 000 IP-адресов.

По мнению некоторых экспертов, распространение вируса могло начаться вследствие утечки до того, как работа над ним была завершена. В пользу незаконченности вируса говорит наличие всего трёх вшитых в код биткойн-кошельков и отсутствие шифрования при обращении к доменам, активирующим механизм самоуничтожения.

28 марта 2018 г. операционные системы авиастроительной корпорации Boeing подверглись кибератакам с применением WannaCry. Компанией были оперативно проведены восстановительные мероприятия программного обеспечения, и вирус не повлиял на производственную деятельность Boeing.

Оценки

Международный хакерский конгломерат «Анонимус» высказал своё возмущение деятельностью создателей червя WannaCry в связи с тем, что этим червём были поражены компьютерные сети публичных и медицинских учреждений. Из-за его активизации в ряде британских госпиталей было отложено выполнение назначенных медицинских процедур, обследований и срочных операций. Особое негодование этот факт вызвал у французского подразделения «Анонимус», которое опубликовало сообщение с осуждением кибератак WannaCry и АНБ, которое не сообщало до 12 мая о краже из своих баз данных программного обеспечения, необходимого для работы червя.

Бывший сотрудник ЦРУ, а ныне американский диссидент Эдвард Сноуден сделал заявление, что уязвимость операционных систем семейства MS Windows, благодаря которой WannaCry распространялся по планете, была давно известна техническим специалистам АНБ. Однако они не посчитали нужным проинформировать об этом компанию Microsoft, а заявили о ней только тогда, когда заражение компьютеров приобрело массовый характер.

Авторство программы

14 мая президент и главный юрисконсульт компании Microsoft Брэд Смит заявил, что данный вирус использовал уязвимость, информация о которой была украдена у Агентства национальной безопасности (АНБ) США.

Позднее, 15 мая президент РФ Владимир Путин напомнил об этих словах руководства Microsoft, назвав спецслужбы США «первичным источником вируса», и заявил, что «Россия здесь совершенно ни при чём». В то же время секретарь Совета безопасности РФ Николай Патрушев заявил об отсутствии доказательств того, что спецслужбы каких-либо стран причастны к массовому распространению по всему миру вируса WannaCry. По его словам, если бы за хакерской атакой стояли спецслужбы, её последствия «были бы значительно более серьёзные». Однако он признал, что в нападении участвовали высококвалифицированные специалисты.

Атака стала возможной благодаря наличию уязвимости в реализации компанией Microsoft сетевого протокола Server Message Block (SMB). Уязвимость некоторое время была известна Агентству национальной безопасности США и имела реализацию в виде готового инструмента (эксплойта) для проведения атаки EternalBlue. Данный инструмент, в числе многих, попал в распоряжение хакерской группы The Shadow Brokers и был опубликован ею в свободном доступе 14 апреля 2017 года. По данным WikiLeaks, изначально EternalBlue был разработан хакерской группой Equation Group, которая была связана с АНБ, а затем выкраден The Shadow Brokers.

Анализ программного кода

Эксперты по современной индустриальной кибербезопасности полагают, что исполняемый код червя WannaCry сам по себе не отличается особенной технической изощрённостью. Однако, специалисты Лаборатории Касперского и антивирусной компании Symantec, основываясь на опубликованном исследователем из Google Нилом Мехтой твите, обратили внимание, что сигнатуры кода WannaCry совпадают с сигнатурой кода, предположительно, использовавшегося в феврале 2015 года хакерской группой Lazarus Group, подозреваемой в связях с правительством КНДР. Этой группе приписывается проведение множества громких компьютерных атак 2012—2014 годов, включая атаку на банковскую инфраструктуру SWIFT и взлом серверов Sony Pictures Entertainment. Эту гипотезу на основании собственного исследования подтвердил эксперт южнокорейской компании «Hauri Labs» Саймон Чой (Simon Choi), являющийся советником южнокорейской полиции и Национального агентства разведки. По его словам, код вируса совпадает с северокорейскими кодами вредоносных программ-бэкдоров.

На Западе считают, что Lazarus Group связана с киберподразделением Разведывательного Управления Генштаба КНА КНДР, известным как Подразделение 121 (англ. Bureau 121). В 2015 году перебежчик из КНДР, профессор информатики Ким Хен Кван в беседе с Би-би-си рассказал об этой организации. По его словам, Подразделение 121 — один из приоритетных проектов правительства КНДР, получающий очень серьёзное финансирование. В подразделении служат около 6000 «военных хакеров», в задачи которых входят атаки на инфраструктурные объекты — линии связи и коммуникационные спутники. Хакеров набирают из числа студентов Института автоматизации Политехнического университета имени Ким Чхэка в Пхеньяне.

В то же время, по заявлениям Лаборатории Касперского и Symantec, пока ещё преждевременно делать выводы о том, замешана ли Северная Корея в атаках. Джон Миллер, эксперт компании FireEye, специализирующейся на кибербезопасности, заявил, что сходства, обнаруженные в кодах вируса WannaCry и группировки Lazarus, недостаточно уникальны, чтобы можно было делать выводы об их происхождении из общего источника. Также фрагменты кода Lazarus Group могли быть просто использованы другой хакерской группой, в том числе и преднамеренно, с целью запутать следствие и помешать выявить настоящего злоумышленника. Официальный представитель Европола Ян Оп Ген Орт также отметил, что Европол пока не может подтвердить информацию о причастности КНДР. Заместитель постоянного представителя КНДР при ООН Ким Ин Рен назвал подозрения в адрес КНДР «смехотворными».

Позже Национальный центр кибербезопасности Великобритании (NCSC), возглавляющий международное расследование, подтвердил гипотезу о причастности Lazarus Group к кибератаке. По словам президента Microsoft Брэда Смита, «на данном этапе все осведомленные наблюдатели заключили, что причиной WannaCry была КНДР, которая использовала киберинструменты или оружие, украденное из Агентства национальной безопасности (АНБ) в США». С этим мнением согласно и правительство Великобритании.

Также, по словам экспертов, временные метки в исходном коде WannaCry установлены в часовом поясе UTC +9, в котором расположены некоторые страны Восточной Азии. Сопоставляя время добавления исполняемого файла и первой зафиксированной атаки WannaCry (в Тайване), исследователи заключили, что авторы вируса находятся в часовом поясе UTC +9.

Лингвистический анализ

Лингвистический анализ текста с требованием выкупа, проведённый экспертами американской компании Flashpoint, ​работающей в сфере кибербезопасности, показал, что родным языком авторов WannaCry, скорее всего, является южный диалект китайского языка. По их мнению, создателями этой программы, скорее всего, являются жители Гонконга, юга Китая, Сингапура или Тайваня. Корейская версия текста написана с ошибками. В то же время, не все эксперты согласны с этими выводами, так как, по их мнению, это может быть целенаправленной маскировкой и запутыванием следов. По словам Сержио де лос Сантоса, главы подразделения кибербезопасности ElevenPaths компании Telefónica, родным языком создателя WannaCry является корейский, потому что именно этот язык был выбран по умолчанию в EMEA-версии Word, используемой для создания RTF-файлов. По его мнению, ошибки в корейском варианте текста с требованием выкупа могут быть намеренной попыткой скрыть свою национальность, и при этом гораздо вероятнее, что автор вируса забыл сменить язык по умолчанию.

Ущерб

По оценкам экспертов, за первые четыре дня масштабной кибератаки пострадали около 300 тысяч пользователей в 150 странах мира. Общий ущерб оценён в сумму 1 млрд долларов США.

EternalRocks

Хорватский эксперт по кибербезопасности Мирослав Стампар (Miroslav Stampar) с помощью системы Honeypot обнаружил новую вредоносную программу-червя под названием «EternalRocks» (возможно, похожа на EternalBlue), которая использует семь украденных у АНБ хакерских инструментов и делает компьютеры, работающие на ОС Windows, уязвимыми для будущих атак, которые могут случиться в любое время. При этом данный червь маскируется под WannaCry с целью запутать исследователей.