Глобальная кибератака замедляется, но эксперты видят риск новых ударов
Глобальная кибератака заставила европейского автопроизводителя остановить некоторые производственные линии, поразила российские компьютеры с более чем половиной подозреваемых инфекций, поразила школы в Китае и больницы в Индонезии, хотя, похоже, в субботу она умирает.
Пользуясь инструментами шпионажа, которые, как полагают, были разработаны Агентством национальной безопасности США, кибернетическое нападение, начатое в пятницу, заразило десятки тысяч компьютеров в 104 странах, причем система здравоохранения Великобритании страдает от самых известных нарушений.
Исследователи из чешского производителя программного обеспечения безопасности Avast заявили, что они наблюдали более 126 000 заражений от вымогательства, причем 60 процентов зараженных компьютеров находятся в России, за ними следуют Украина и Тайвань.
Кибер-вымогатели обманывали жертв в том, что они открывали вредоносные вложения в вредоносные программы для спам-писем, которые, казалось, содержали счета-фактуры, предложения о работе, предупреждения о безопасности и другие законные файлы.
Внутри целевой сети так называемые «вымогатели» использовали недавно обнаруженные инструменты-шпионы для незаметного заражения других устаревших компьютеров без вмешательства человека. Это, по словам экспертов по вопросам безопасности, ознаменовало беспрецедентную эскалацию риска распространения новых атак в ближайшие дни и недели.
Зашифрованные данные зашифрованы на компьютерах, требуя от 300 до 600 долларов США на восстановление доступа. Исследователи заметили, что некоторые жертвы платили через цифровую биткойн, хотя никто не знает, сколько было передано вымогателям из-за анонимного характера таких транзакций.
Хакеры, которые не заявили о своей ответственности или были опознаны каким-либо иным образом, использовали червь или самораспространяющиеся вредоносные программы, используя кусок кода шпионского агентства NSA, известного как «Вечная синь», который был выпущен в прошлом месяце хакерами Группа, известная как Shadow Brokers, согласно исследователям с несколькими частными фирмами кибербезопасности.
Renault заявила, что приостановила производство автомобилей на нескольких объектах, в том числе в Сандувилле на северо-западе Франции и заводах Dacia в Румынии, принадлежащих Renault, в субботу, чтобы предотвратить распространение вымогателей в своих системах.
Производственный завод Nissan в Сандерленде, северо-восточная Англия, также пострадал от кибератаки, хотя «это не оказало серьезного влияния на наш бизнес», — сказал представитель японского автопроизводителя. Немецкий железнодорожный оператор Deutsche Bahn [DBN.UL] сказал, что некоторые электронные Знаки на станциях, объявляющих о прибытии и выезде, были инфицированы, а путешественники размещали фотографии, на которых были изображены сообщения с требованием оплаты наличными для восстановления доступа.
«БЕСПРЕЦЕДЕНТНЫЕ» ЛАДИТЕЛИ АТАКА
Европейский центр киберпреступности Европола заявил, что он тесно сотрудничает со страновыми следователями и частными охранными фирмами для борьбы с этой угрозой и оказания помощи жертвам. «Недавняя атака находится на беспрецедентном уровне и потребует сложного международного расследования для выявления виновных», — говорится в заявлении.
Некоторые эксперты заявили, что угроза отступила на данный момент, отчасти потому, что британский исследователь, отказавшийся назвать свое имя, зарегистрировал домен, который заметил, что вредоносная программа пытается подключиться, и поэтому ограничивает распространение червя.
«Мы находимся на нисходящем склоне, инфекций крайне мало, потому что вредоносное ПО не может подключиться к зарегистрированному домену», — сказал Викрам Тхакур, главный научный руководитель Symantec, по мере того, как угроза спала.
Исследователи мчатся на время, чтобы попытаться расшифровать зараженные компьютеры и восстановить доступ к файлам жертв до истечения срока выкупа вредоносного кода в течение двух дней. Но до сих пор некоторые говорили, что не нашли способа нарушить шифрование.
Нападавшие могут еще изменить код и перезапустить цикл. Исследователь из Британии, широко приписываемый распространению информации о распространении вымогательства, сказал Reuters, что он еще не видел таких хитростей, «но они будут (случаются)».
Министры финансов и руководители центральных банков семи ведущих стран мира, собравшиеся на конференцию G7 в Италии в субботу, пообещали усилить сотрудничество в борьбе с киберпреступностью, говорится в проекте коммюнике.
БОЛЬНИЦЫ В ЖЕЛЕЗНОДОРОЖНОЙ ЛИНИИ
В Азии были затронуты некоторые больницы, школы, университеты и другие учреждения, хотя полная степень ущерба пока не известна.
«Я считаю, что многие компании еще не заметили, — сказал Уильям Сайто, советник по кибербезопасности правительства Японии. «Вещи, вероятно, могут появиться в понедельник», когда сотрудники возвращаются на работу.
Наблюдатель по информационной безопасности Китая сказал, что «часть» пользователей Windows-систем в стране была заражена, согласно сообщению, опубликованному на официальной странице Weibo пекинского отделения Бюро общественной безопасности в субботу. Агентство государственных новостей Синьхуа сообщило, что пострадали некоторые средние школы и университеты.
Самые разрушительные нападения были зарегистрированы в Великобритании, где больницы и клиники были вынуждены отказывать пациентам после потери доступа к компьютерам в пятницу.
Система здравоохранения в значительной степени оправилась от срыва, заявил министр внутренних дел Амбер Радд в субботу после заседания комитета по реагированию правительства на кризис.
Международный грузоотправитель FedEx Corp сказал, что некоторые из его компьютеров с Windows были также нарушены. «Мы осуществляем шаги по исправлению положения как можно быстрее», — говорится в заявлении.
Телекоммуникационная компания Telefonica была среди многих целей в Испании. Португалия Телеком и Telefonica Argentina заявили, что они также являются мишенью.
Похоже, что хакеры начали кампанию по целям в Европе, сказал Тхакур, поэтому к тому времени, когда они обратили свое внимание на Соединенные Штаты, спам-фильтры идентифицировали новую угрозу, уменьшив ее воздействие.
ЗАЩИТА ОТ WINDOWS МАЙКРОСОФТ БОЛСТЕРС
Частные охранные фирмы определили выкуп в качестве нового варианта «WannaCry», который может распространяться по крупным сетям, используя известную ошибку в операционной системе Microsoft Windows.
«Это один из самых больших атак на глобальное вымогательство, которые когда-либо видели кибер-сообщество», — говорит Рич Баргер, директор по исследованиям угроз со Splunk, одной из фирм, которые связали WannaCry с NSA.
The Shadow Brokers выпустили Eternal Blue как часть хакерских инструментов, которые, как они сказали, принадлежали шпионскому агентству США.
Атака предназначалась для компьютеров Windows, которые не устанавливали исправления, выпущенные Microsoft в марте, или более старые компьютеры, на которых установлено программное обеспечение, которое Microsoft больше не поддерживает, в том числе 16-летняя система Windows XP.
Microsoft заявила, что она вытолкнула автоматические обновления Windows для защиты существующих клиентов от WannaCry. 14 марта он выпустил патч, чтобы защитить их от Eternal Blue. Поздно в пятницу Microsoft также выпустила исправления для ряда давно прекращенных программ, включая Windows XP и Windows Server 2003.
ПОЛИТИЧЕСКИ ЧУВСТВИТЕЛЬНОЕ ВРЕМЯ
Распространение вымогательства охватило неделю кибернетических потрясений в Европе, начавшееся после того, как хакеры отправили кучу агитационных документов, привязанных к кандидату в президенты Франции Эммануэлю Макрону, перед самым окончательным голосованием, в котором он был избран президентом Франции.
Взлом произошел за четыре недели до проведения британских всеобщих выборов, в которых важны вопросы национальной безопасности и управления государственной службой здравоохранения.
Власти Великобритании были настроены на кибератаки в преддверии выборов, как это случилось во время прошлогодних выборов в США и в преддверии второго тура голосования во Франции 7 мая.
Но те нападки, которые обвиняли Россию, которая неоднократно отрицала их, следовали другому методу работы, включающему проникновение на счета частных лиц и политических организаций, а затем освобождение взломанного материала в Интернете.
В пятницу российские министерства внутренних дел и чрезвычайных ситуаций, а также его крупнейший банк Сбербанк заявили, что они стали мишенью для выкупа. Министерство внутренних дел заявило, что было заражено 1000 компьютеров, но оно локализовало вирус.
Источник новости
