За создателями рэкет-вируса WannaCry охотятся по всему миру

09:50, 16 мая 2017, Бишкек - 24.kg

В то время как организации по всему миру пытаются избавиться от последствий кибератаки, совершенной при помощи программы-вымогателя WannaCry, сотрудники служб и компаний кибербезопасности пытаются определить, кто именно стоит за этим нападением. Об этом сообщает ВВС.

Под подозрением Северная Корея

Как отмечается, вирус использует уязвимость в программном обеспечении Windows, которая изначально обнаружена Агентством национальной безопасности США, но затем использована в преступных целях кем-то другим.

Некоторые специалисты по кибербезопасности заявили, что нашли определенные технические улики в WannaCry, на основании которых можно заподозрить в причастности к созданию и запуску вируса Северной Кореи.

Symantec и «Лаборатория Касперского» заявили, что более ранняя версия кода WannaCry появлялась в программах так называемой Lazarus Group, которую многие считают северокорейской хакерской организацией.

Обе компании в то же время подчеркивают, что делать выводы о причастности Северной Кореи к этой массовой кибератаке пока преждевременно.

Глава исследовательского отдела компании F-Secure Микко Хиппонен говорит, что анализ программы-вымогателя пока не выявил твердых доказательств.

WannaCry 1.0 распространялся при помощи спама и «заминированных» сайтов, но на эту удочку не попался практически никто.

Версия 2.0, захватившая компьютеры по всему миру, практически идентична первой, за исключением модуля, который превращал программу в «червя», способного распространяться самостоятельно.

Новички или слишком хитрые хакеры?

Другие исследователи, основываясь на некоторых признаках, склоняются к выводу о том, что WannaCry — дело рук какой-то новой группировки.

Многие обращают внимание на то, что WannaCry не испытывает проблем с проникновением в компьютерные системы, использующие кириллицу. По контрасту с этим многие вредоносные программы, вышедшие из России, старались избегать заражения машин, работающих на кириллице.

Изучающим программный код экспертам до сих пор не удалось найти в нем каких-либо специфических черт, которые могли бы пролить свет на его создателей.

Существуют и другие признаки того, что WannaCry — дело рук относительных новичков в подобных вымогательствах:

• WannaCry оказался слишком успешным и нанес удар более чем 200 тысячам компьютеров, что во много раз больше обычного. Собирать выкуп со столь большого числа жертв — чрезвычайно трудоемкое занятие.

• Авторы WannaCry забыли зарегистрировать адрес домена, прописанный в коде вируса. Этот адрес работает как рубильник, прекращающий распространение вируса. Исследователь Маркус Хатчинс зарегистрировал адрес этого домена сам, благодаря чему, неожиданно для себя, сумел остановить распространение вируса по планете.

• Организаторы кибератак целью рэкета обычно создают лишь один адрес, по которому следует посылать им биткоины, ибо так им легче определить, кто именно с ними расплатился и кому конкретно можно вернуть контроль над компьютером. WannaCry использует сразу три аккаунта биткоинов, что серьезно затруднит работу вымогателей, если, конечно, те вообще собирались размораживать захваченные компьютеры.

Расслабляться рано

Израильская IT-компания Check Point обнаружила новую версию вируса WannaCry, сообщил ТАСС.

«За последние несколько часов мы стали свидетелями нападения со скоростью одна атака в секунду», — говорится в заявлении компании.

Представитель же российской компании «Лаборатория Касперского» Дмитрий Бестужев заявил, что Мексика является наиболее пострадавшей от вируса WannaCry страной Латинской Америки и пятой в мире после России, Украины, Китая и Индии, пишет «Газета.ru».

«То, что мы знали по состоянию на 18.00 мск 15 мая, говорит, что Мексика занимает первое место по числу атак в Латинской Америке. В прошлую пятницу мы наблюдали, что на первом месте находилась Бразилия», — сказал он.

Дмитрий Бестужев уточнил, что больше всего пострадали корпоративные и институциональные клиенты, у которых много оборудования, подключенного к Интернету.