За создателями рэкет-вируса WannaCry охотятся по всему миру

  • 16 мая 2017
WannaCry Правообладатель иллюстрации EPA
Image caption WannaCry захватила более 200 тысяч компьютеров по всему миру

В то время как организации по всему миру пытаются избавиться от последствий кибератаки, совершенной при помощи программы-вымогателя WannaCry, сотрудники служб и компаний кибербезопасности пытаются определить, кто именно стоит за этим нападением.

Вирус использует уязвимость в программном обеспечении Windows, которая была изначально обнаружена Агентством национальной безопасности США, но затем была использована в преступных целях кем-то другим.

На данный момент не ясно, кто именно это сделал, и где эти люди находятся.

Некоторые специалисты по кибербезопасности в понедельник заявили, что нашли определенные технические улики в WannaCry, на основании которых можно заподозрить в причастности к созданию и запуску вируса Северной Кореи.

Symantec и "Лаборатория Касперского" заявили, что более ранняя версия кода WannaCry появлялась в программах так называемой Lazarus Group, которую многие считают северокорейской хакерской организацией.

Обе компании в то же время подчеркивают, что делать выводы о причастности Северной Кореи к этой массовой кибератаке пока преждевременно.

Глава исследовательского отдела компании F-Secure Микко Хиппонен говорит, что анализ программы-вымогателя пока не выявил никаких твердых доказательств.

Правообладатель иллюстрации AFP
Image caption Российский президент Владимир Путин заявил, что его страна не имеет никакого отношения к этой хакерской атаке

Русские ни при чём

Первая версия этого вируса появилась 10 февраля, и была использована в рамках небольшой кампании рэкета, начавшейся 25 марта.

WannaCry 1.0 распространялся при помощи спама и "заминированных" сайтов, но на эту удочку не попался практически никто.

Версия 2.0, захватившая компьютеры по всему миру, была практически идентична первой, за исключением модуля, который превращал программу в "червя", способного распространяться самостоятельно.

Другие исследователи, основываясь на некоторых признаках, склоняются к выводу о том, что WannaCry - дело рук какой-то новой группировки.

Многие обращают внимание на то, что WannaCry не испытывает никаких проблем с проникновением в компьютерные системы, использующие кириллицу. По контрасту с этим многие вредоносные программы, вышедшие из России, старались избегать заражения машин, работающих на кириллице.

Изучающим программный код экспертам до сих пор не удалось найти в нем каких-либо специфических черт, которые могли бы пролить свет на его создателей.

Кроме того, метка времени создания кода указывает, что он был создан на компьютере в девяти часовых поясах к востоку от Гринвича, что дает основания полагать, что его авторы могли находиться в Японии, Корее, Китае, Индонезии, на Филиппинах или российском Дальнем Востоке.

Новички?

Правообладатель иллюстрации Getty Images
Image caption Хакеры требуют выплаты в биткойнах

Существуют и другие признаки того, что WannaCry - дело рук относительных новичков в подобного рода вымогательствах.

Во-первых, WannaCry оказался слишком успешным, и нанес удар более чем 200 тысячам компьютеров, что во много раз больше обычного. Собирать выкуп со столь большого числа жертв - чрезвычайно трудоемкое занятие.

Во-вторых, авторы WannaCry забыли зарегистрировать адрес домена, прописанный в коде вируса. Этот адрес работает как рубильник, прекращающий распространение вируса. Исследователь Маркус Хатчинс зарегистрировал адрес этого домена сам, благодаря чему он, неожиданно для себя, сумел остановить распространение вируса по планете.

Теперь эксперты пытаются понять, интересовался ли кто-либо этим доменным адресом ранее, и можно ли вычислить, где эти люди находились.

Но не стоит забывать, что определенная доля улик, которые можно обнаружить в программном коде, вписана туда специально, с тем чтобы запутать следствие.

В третьих, организаторы кибернападений с целью рэкета обычно создают лишь один адрес, по которому следует посылать им биткойны, ибо таким образом им легче определить, кто именно с ними расплатился и кому конкретно можно вернуть контроль над компьютером.

WannaCry использует сразу три аккаунта биткойнов, что серьезно затруднит работу вымогателей, если, конечно, те вообще собирались размораживать захваченные компьютеры.

Правообладатель иллюстрации Reuters
Image caption Кто они, эти хакеры?

Стоит ли платить хакерам?

Британское национальное агентство по борьбе с преступностью советует ничего не платить вымогателям.

Доктор Джеймс Смит из компании Elliptic, которая анализирует транзакции в блочной цепи биткойна, говорит, что именно оплата выкупа биткойнами может вывести на след хакеров, так как блокчейн публично регистрирует, кто и когда потратил биткойны.

"В конце концов, эти люди хотят денег, и рано или поздно эти суммы будут куда-то перенаправлены, - говорит он. - Когда именно это произойдет, неизвестно, и, как мы думаем, это зависит от того, сколько именно денег будет им выплачено в течение ближайших нескольких дней".

На данный момент на эти адреса биткойнов было переведено более 50 тысяч долларов.

"Все чрезвычайно внимательно следят за этими адресами", - говорит доктор Смит.

Новости по теме