WannaCry: последствия крупнейшей в истории атаки программ-вымогателей

Что ж, вот мы и предупреждены всеми членами сообщества InfoSec. Идеальный шторм условий привел к крупнейшей в истории атаке программ-вымогателей. За выходные, согласно The Hacker News 99 стран и более 200 000 машин подверглись атаке со стороны WannaCry (а также ее ответвлений, таких как WanaCrypt0r 2.0). Эта программа-вымогатель основана на коде утекшего вредоносного ПО АНБ, о котором я сообщил и дал подробное интервью для TechGenix Xtreme, обсуждая его.

WannaCry использует вредоносное ПО DoublePulsar для загрузки эксплойта EternalBlue (исправленного месяц назад), который проникает в систему через эксплойт через порт 445 SMB. уязвимые устройства в сети. После блокировки машины хакеры (возможно, базирующиеся в России, но прокси-серверы затрудняют точное определение местоположения) потребовали, согласно выкуп в биткойнах на сумму около 600 долларов, чтобы разблокировать машину.

Поскольку это был самый крупный инцидент с программами-вымогателями на сегодняшний день, средства массовой информации сошли с ума и начали сообщать о нем с безумными обновлениями. Фирмы по кибербезопасности сделали все возможное, чтобы помочь зараженным, и Microsoft выпустила экстренный патч для Windows XP и Windows 8 (наиболее пострадавшие ОС), а также Server 2003 и 2008, который несколько остановил кровотечение.

Согласно отчету об исправлениях, Microsoft заявляет:

«Было больно видеть, как предприятия и отдельные лица пострадали от кибератак, подобных тем, о которых сообщалось сегодня. Microsoft работала в течение всего дня, чтобы убедиться, что мы поняли суть атаки, и предпринимаем все возможные действия для защиты наших клиентов… мы предпринимаем весьма необычный шаг, предоставляя всем клиентам обновление для системы безопасности для защиты платформ Windows, которые находятся только на индивидуальной поддержке».

Основные моменты, которые следует вынести из инцидента, вызывают разочарование, поскольку все они были результатом предотвратимых проблем.

Например, NHS сильно пострадала, поскольку они все еще работали на архаичной операционной системе (Windows XP), которая не была исправлена. Правительство Великобритании предпочло проигнорировать бесчисленные сообщения об опасностях этого, такие как мои собственные, и вместо этого оставило пациентов, находящихся на попечении их системы, в опасности из-за того, что администраторы были заблокированы от доступа к жизненно важным данным пациентов.

В связи с этим огромное количество систем, на которых все еще работали архаичные системы Microsoft, свидетельствовало о том, насколько плохо информированы предприятия и широкая публика в отношении обновлений. Как я уже говорил в своей статье NHS, количество векторов атак, которые могут быть использованы хакерами в старой ОС, такой как XP, не поддается описанию. Устаревшая ОС, независимо от того, в какой части земного шара или в какой отрасли она развернута, с легкостью подвергнется атаке. Неисправленная старая ОС — это игровая площадка для хакеров, это то, ради чего живут черные шляпы и чего боятся белые шляпы.

Однако это была не обычная атака программы-вымогателя, поскольку она была разработана с использованием вредоносного кода, обнаруженного в утечке вредоносного ПО АНБ. АНБ, в дополнение к тому, что раньше копило эксплойты (во многом как ЦРУ) вместо того, чтобы сообщать о них компаниям, решило создать мощное вредоносное ПО, которое позволило бы им получить доступ к любой системе по всему миру. Безрассудство АНБ, без сомнения, является самым дерзким проявлением высокомерия. Предосудительно думать, что они выше законов кибербезопасности и, как таковые, могут подвергнуть весь мир опасности как со стороны национального государства, так и со стороны криминала.

Также предосудительны другие правительственные учреждения, такие как GCHQ Великобритании, которые искали эксплойтов от своих американских союзников. На самом деле правительства стран мира, разрешая разработку опасного вредоносного ПО, а также не защищая свои жизненно важные системы с помощью обновлений ОС и информирования общественности об информационной безопасности, должны нести основную тяжесть этой вины. Если бы не они, разработчики оппортунистических программ-вымогателей не смогли бы распространять мощный вредоносный код в Даркнете. Черные шляпы, стремящиеся получить быструю прибыль, независимо от того, подвергалась ли реальная жизнь опасности (как в случае с заражением NHS), продолжали получать и создавать WannaCry (который теперь был обновлен в ответ на самые последние исправления).

Поскольку эти атаки привлекли столько внимания средств массовой информации, больше, чем любая атака программ-вымогателей в прошлом, как никогда важно, чтобы голос сообщества информационной безопасности был услышан. Мы должны больше, чем когда-либо, получать новости об исправлениях, уязвимостях и других проблемах безопасности, чтобы об этом знал не только ИТ-мир. Мы должны настаивать на том, чтобы основные средства массовой информации освещали эти вопросы более эффективно и чаще. WannaCry может стать тревожным сигналом для мирового сообщества о том, что они не относятся к кибербезопасности так серьезно, как следовало бы. Мы должны сделать это нашей миссией больше, чем когда-либо прежде, особенно после того, как сообщает, что « даже после того, как WannaCry попала в заголовки Интернета и средств массовой информации, сотни тысяч неисправленных систем все еще легко доступны в Интернете».

Это только одна часть, на что я намекал на протяжении всей этой статьи, что мировые правительства, особенно западные страны с мощными разведывательными программами, подвергают мир опасности. Это неудивительно, если вы посмотрите на историю этих организаций, от их опосредованных войн и переворотов до фальсификации выборов и совершения внесудебных убийств. Теперь они (АНБ, ЦРУ и многие другие) перенесли свои опасные действия на поле кибервойны. Я понимаю, что многие в мире информационной безопасности имеют дело с правительствами, и они платят нам за вознаграждение за обнаружение ошибок и тесты на проникновение. Это не может удержать нас от нашей миссии профессионалов в области кибербезопасности; эта миссия состоит в том, чтобы защитить население мира от нарушений безопасности.

Мы должны поставить перед собой цель заставить национальные государства соблюдать те же законы, что и гражданские лица, и призвать независимые судебные органы наказывать всех, кто нарушает такие законы. Те, кто руководит нами, должны работать для людей и защищать людей, а не подвергать нас опасности. Время политического нейтралитета прошло. Это наш боевой клич, это наша линия на песке.

Спровоцированная средствами массовой информации паника, вызванная WannaCry, не помогла и увела людей от спокойного осознания того, как реагировать, и понимания того, как мы дошли до этой точки. Теперь, когда ситуация несколько успокоилась, хотя были сообщения о том, что WannaCry 2.0 представляет собой угрозу (она невосприимчива к «выключателю», замедляющему версию 1.0), похоже, что многие все еще не знают, как защититься от этой инфекции и как предотвратить подобные атаки в будущем.

На этот раз мы не можем сидеть в стороне и позволить этому случиться снова.