В то время как организации по всему миру пытаются избавиться от последствий кибератаки, совершенной при помощи программы-вымогателя WannaCry, сотрудники служб и компаний кибербезопасности пытаются определить, кто именно стоит за этим нападением. Об этом сообщает ВВС.
Под подозрением Северная Корея
Как отмечается, вирус использует уязвимость в программном обеспечении Windows, которая изначально обнаружена Агентством национальной безопасности США, но затем использована в преступных целях кем-то другим.
На данный момент неясно, кто именно это сделал и где эти люди находятся.
Некоторые специалисты по кибербезопасности заявили, что нашли определенные технические улики в WannaCry, на основании которых можно заподозрить в причастности к созданию и запуску вируса Северной Кореи.
Обе компании в то же время подчеркивают, что делать выводы о причастности Северной Кореи к этой массовой кибератаке пока преждевременно.
Глава исследовательского отдела компании F-Secure Микко Хиппонен говорит, что анализ программы-вымогателя пока не выявил твердых доказательств.
Первая версия вируса появилась 10 февраля и использована в рамках небольшой кампании рэкета, начавшейся 25 марта.
WannaCry 1.0 распространялся при помощи спама и «заминированных» сайтов, но на эту удочку не попался практически никто.
Версия 2.0, захватившая компьютеры по всему миру, практически идентична первой, за исключением модуля, который превращал программу в «червя», способного распространяться самостоятельно.
Новички или слишком хитрые хакеры?
Другие исследователи, основываясь на некоторых признаках, склоняются к выводу о том, что WannaCry — дело рук какой-то новой группировки.
Изучающим программный код экспертам до сих пор не удалось найти в нем каких-либо специфических черт, которые могли бы пролить свет на его создателей.
Существуют и другие признаки того, что WannaCry — дело рук относительных новичков в подобных вымогательствах:
- WannaCry оказался слишком успешным и нанес удар более чем 200 тысячам компьютеров, что во много раз больше обычного. Собирать выкуп со столь большого числа жертв — чрезвычайно трудоемкое занятие.
- Авторы WannaCry забыли зарегистрировать адрес домена, прописанный в коде вируса. Этот адрес работает как рубильник, прекращающий распространение вируса. Исследователь Маркус Хатчинс зарегистрировал адрес этого домена сам, благодаря чему, неожиданно для себя, сумел остановить распространение вируса по планете.
- Организаторы кибератак целью рэкета обычно создают лишь один адрес, по которому следует посылать им биткоины, ибо так им легче определить, кто именно с ними расплатился и кому конкретно можно вернуть контроль над компьютером. WannaCry использует сразу три аккаунта биткоинов, что серьезно затруднит работу вымогателей, если, конечно, те вообще собирались размораживать захваченные компьютеры.
Расслабляться рано
Израильская IT-компания Check Point обнаружила новую версию вируса WannaCry, сообщил ТАСС.
«За последние несколько часов мы стали свидетелями нападения со скоростью одна атака в секунду», — говорится в заявлении компании.
Представитель же российской компании «Лаборатория Касперского» Дмитрий Бестужев заявил, что Мексика является наиболее пострадавшей от вируса WannaCry страной Латинской Америки и пятой в мире после России, Украины, Китая и Индии, пишет «Газета.ru».
«То, что мы знали по состоянию на 18.00 мск 15 мая, говорит, что Мексика занимает первое место по числу атак в Латинской Америке. В прошлую пятницу мы наблюдали, что на первом месте находилась Бразилия», — сказал он.
Дмитрий Бестужев уточнил, что больше всего пострадали корпоративные и институциональные клиенты, у которых много оборудования, подключенного к Интернету.