WannaCry. Кто автор?

Закодировать всё

добавить в избранное

WannaCry. Кто автор?

Прочитали: 8732 Комментариев: 72 Рейтинг: 152

25 мая 2017

Авторство нашумевшего WannaCry – вопрос, который интересует всех, от правоохранительных органов и специалистов по ИБ до простых пользователей. Изложенное ниже не является официальным мнением компании «Доктор Веб» – это всего лишь размышление о том, насколько легко в условиях недостатка данных обвинить в киберпреступлениях кого-либо в современном цифровом мире.

Начнем просто с фактов:

Группировка The Shadow Brokers публикует очередную порцию хакерских инструментов, похищенных у группы Equation Group, подозреваемой в связях с Агентством национальной безопасности США. В этот раз публикуются эксплойты для уязвимостей в ОС Windows – от Windows 2000 и Server 2012 до Windows 7 и 8. Опубликованный архив содержит в общей сложности 23 инструмента, в том числе EternalBlue, Oddjob, Easybee, EducatedScholar, EnglishmanDentist, EsikmoRoll, EclipsedWing, Emphasismine, EmeraldThread, EternalRomance, EternalSynergy, Ewokefrenzy, ExplodingCan, ErraticGopher, EsteemAudit, Doublepulsar, Mofconfig и Fuzzbunch.
В компании Microsoft (уведомленной «неизвестным доброжелателем» о грядущей выкладке) провели анализ эксплойтов и заявили, что уязвимости в протоколе SMB v1-3, эксплуатируемые инструментами EternalBlue, EmeraldThread, EternalChampion, EternalRomance, ErraticGopher, EducatedScholar и EternalSynergy, уже были исправлены в предыдущие годы, а некоторые – устранены в нынешнем году (CVE-2017-0146 и CVE-2017-0147). Патч для уязвимости в контроллерах домена, работающих под управлением Windows 2000, 2003, 2008 и 2008 R2, эксплуатируемой инструментом EsikmoRoll, был выпущен еще три года назад, в 2014 году. Было заявлено, что инструменты EnglishmanDentist, EsteemAudit и ExplodingCan не работают на поддерживаемых версиях Windows, поэтому патчи для них выпускаться не будут.

В частности, уязвимости, которые через некоторое время использовал WannaCry, были закрыты обновлением MS 17-010, выпущенным в марте 2017.
Новый шифровальщик, используя выложенные группировкой The Shadow Brokers инструменты (в частности, EternalBlue и Doublepulsar), начал распространение примерно в 10 утра 12 мая, и уже вечером того же дня СМИ (не производители антивирусов!) стали сообщать о многочисленных заражениях.
The Shadow Brokers во вторник, 16 мая, объявляет о запуске платного сервиса The Shadow Brokers Data Dump of the Month, ежемесячно предоставляющего подписчикам новые эксплойты для ранее неизвестных уязвимостей в браузерах, маршрутизаторах, мобильных устройствах, Windows 10, а также данные, похищенные из банковской системы SWIFT, и информацию, связанную с ядерными программами России, Китая, Ирана и КНДР.

Создать эксплойт – не значит создать троянца и с его помощью провести атаку.

А кто создал троянца? Кто стоит за атакой — т. е. распространением троянца?

Практически сразу появились сообщения о связи WannaCry и группировки Lazarus.

Отмечается, что фрагменты кода, обнаруженные в предшествующей версии вируса WannaCry, использовались группировкой Lazarus Group, подозреваемой в связях с Пхеньяном.

http://rusgosnews.com/2017/05/17/specialisti-laboratorii-kasperskogo-rasskazali-kto-stoit-za.html

В связи с этим напомним, что приписывается Lazarus Group:

Успешная атака на кинокомпанию Sony Pictures в 2014 году. Также они ограбили ряд банков, в частности, у центрального банка Бангладеш хакеры украли $81 миллион.
Атака на межбанковскую систему SWIFT. В частности, в феврале 2016 года хакерам удалось вывести из Центробанка Бангладеш $81 млн.
Атака на Banco del Austro в Эквадоре в январе 2015 года. В результате было похищено $9 млн.

Серьезная организация, существующая уже лет десять. Успешнейшие операции – заметим, все они основаны на взломе, а не на попытках рассылки вредоносного ПО.

А что WannaCry (описание специалистов «Доктор Веб» здесь)?

Троянец не упакован и, тем более, не перепаковывается. Подавляющее число троянцев наблюдаются средствами обнаружения примерно 9 минут – WannaCry же атаковал в течение дней с одним и тем же кодом, не пытаясь укрыться от внимания антивирусов. Только поражающая безграмотность админов позволила ему нанести ущерб.
Троянец представляет собой архив с зашитым внутри ключом распаковки, видимым любому исследователю.

(https://www.linkedin.com/feed/update/urn:li:activity:6269238070189654016)
Троянец не пытается как-либо замаскироваться в системе – его файлы обнаруживает любой антивирусный файловый монитор.

Внутри троянца можно увидеть некий почтовый адрес:

00:34 < nulldot> 0x1000ef48, 24, BAYEGANSRV\administrator
00:34 < nulldot> 0x1000ef7a, 13, Smile465666SA
00:34 < nulldot> 0x1000efc0, 19, wanna18@hotmail.com
00:34 < nulldot> 0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY
00:34 < nulldot> 0x1000f024, 22, sqjolphimrr7jqw6.onion
00:34 < nulldot> 0x1000f088, 52, https://www.dropbox.com/s/deh8s52zazlyy94/t.zip?dl=1
00:34 < nulldot> 0x1000f0ec, 67, https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip
00:34 < nulldot> 0x1000f150, 52, https://www.dropbox.com/s/c1gn29iy8erh1ks/m.rar?dl=1
00:34 < nulldot> 0x1000f1b4, 12, 00000000.eky
00:34 < nulldot> 0x1000f270, 12, 00000000.pky 
00:34 < nulldot> 0x1000f2a4, 12, 00000000.res

https://habrahabr.ru/company/pentestit/blog/328606
https://habrahabr.ru/post/328548

Атака осуществлялась из одного места.

https://www.hybrid-analysis.com/sample/24d004...
Копеечный заработок хакеров из-за ошибки в модуле приема биткойнов — и из-за этого огромное количество жертв, которые никогда не смогут восстановить данные, потому что просто не могут заплатить выкуп.

Совершенно не похоже на успешных хакеров Lazarus, зарабатывающих миллионы долларов. Добавим, что среди утекших инструментов АНБ была специальная утилита, позволявшая вставлять в текст программы фразы на нужном языке. А уж вставить кусок нужного кода...

https://twitter.com/neelmehta/status/864164081116225536

#шифровальщик #Trojan.Encoder #киберпреступление #ответственность

Антивирусная правДА! рекомендует

Поскольку наши пользователи не пострадали и у нас мало информации о реальных заражениях, мы ничего не утверждаем и не пытаемся делать предположения, не основанные на твердой уверенности. Официальная точка зрения компании «Доктор Веб» на атаку изложена на официальном сайте.
Подделать следы очень просто. Доказать чью-то причастность к атаке невероятно трудно.
Мы надеемся, что наступит время, когда авторы и этого троянца займут полагающееся им место. В тюрьме.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Денисенко Павел Андреевич
18:37:36 2018-10-31

@Toma, скорей всего кто-то из хакерской группировки Lazarus, о которой написано в этом выпуске. Ну мне так кажется.

Toma
16:35:31 2018-10-31

@Денисенко_Павел_Андреевич, "Ну теперь Я уже знаю кто автор этого WannaCry." И кто он?

Денисенко Павел Андреевич
13:36:38 2018-08-05

Ну теперь Я уже знаю кто автор этого WannaCry.

Неуёмный Обыватель Собкор
01:40:39 2018-07-03

Одна из самых мутных историй, прошедших в сфере ИТ-безопасности последние годы. Скорее это была показательная акция.

alex-diesel Собкор
14:31:43 2018-04-18

Ну что тут комментировать...
Или узнаем правду когда-нибудь или нет, или неправду...
Или сядут или нет, или не те...
В общем верить нельзя ничему и все может быть, а может и не быть, оказаться правдой и не правдой и вообще вилами на воде...

vasvet
20:47:32 2018-04-05

Совсем не хочется ни с автором, ни тем более с его созданием.

Инквизитор
11:59:40 2017-08-02

>>И по картинке не совсем понято откуда, можно было бы написать название страны.
Олбанске вируз!

Вячeслaв Собкор
10:48:11 2017-05-31

@Littlefish, в источнике не было сказано откуда. Но иные новости говорят. что полиция Франции арестовала ряд серверов Тор в рамках противодействия Wanna Cry. Но все это неофициально. Было также сообщение что новые версии трояна используют ботнет Mirai - но лично я считаю это сомнительным - не те мощности атак

Littlefish Собкор
23:28:17 2017-05-30

5. Атака осуществлялась из одного места - немного режет слух, как будто из того самого места, пониже спины. И по картинке не совсем понято откуда, можно было бы написать название страны.

AntonIT
12:35:15 2017-05-29

Политика и бизнес

krant
17:49:40 2017-05-26

@Людмила, увы мне.

Людмила
17:01:15 2017-05-26

@krant,
не смогу.

krant
16:58:25 2017-05-26

@Людмила, простите, пожалуйста.

Людмила
16:43:21 2017-05-26

@krant,
если сегодня у вас отвратительное настроение, вы можете забрести сюда попозже.

krant
16:29:59 2017-05-26

@Людмила, спасибо принято. Чтобы ненароком не забрести в чужое стойло, не нарушить вечное повторение вдовьей экзекуции и подвести итог лингвистическому пустобрехию, не к делу здесь образовавшемуся, позвольте процитировать: "и были среди них простаки, которым даже лень сказать было кому-нибудь: "прочь поди" и которые знали только одно, что они грамоте не разумеют, буквицы в Полведере складывать не умеют и титло не под то подсовывают".

Людмила
15:20:17 2017-05-26

@krant,
"Вы утверждаете наличие в русском языке слов "стоИло" и "стоилО"? "
чтобы не перепутали со словом стойло - и краткое часто не пишут, а используют и.

krant
14:59:55 2017-05-26

@Людмила, объясните кстати, если не затруднит, зачем в слове "стоило" акцент на первом слоге? Вы утверждаете наличие в русском языке слов "стоИло" и "стоилО"?

krant
14:49:07 2017-05-26

@Людмила, ну да! Конечно, стоило! Имея в виду железную логику Ваших аргументов, Людмила, - тем более!
Но позволю заметить, что я в своей скромной реплике никому никаких вопросов не задал, а лишь воскликнул. Быть может, мимоходом. Скорее всего - зря.

Lia00 Собкор
12:59:12 2017-05-26

вы авторы:D

Людмила
08:00:08 2017-05-26

@krant,
@"стоило огород городить! "
Да. СтОило.

razgen Собкор
23:29:09 2017-05-25

Б...а
22:32:54 2017-05-25

Ждем продолжения.
**********
Думаю завтрашний выпуск будет окончанием этой темы, состоящей из нескольких выпусков. Как-то уже стала приедаться здесь эта тема. Вот только как бы выплеснуть информацию о том, что пользователи «Доктор Веб» не пострадали от шифровальщика WannaCry за пределы нашего проекта. Ведь пользователи других антивирусов не заходят сюда, так же как и мы не ходим на их форумы. А хотелось чтобы они знали, что благодаря Dr.Web данная угроза для пользователей продуктов компании "Доктор Веб" прошла стороной.

Б...а
22:32:54 2017-05-25

Ждем продолжения.

dyadya_Sasha Собкор
22:25:09 2017-05-25

@Morpheus, "...Может быть это было просто для отвода глаз? Отвлекающий маневр, а на самом деле пока был кипишь, случилось что-то страшное?:)..."

Страшное, не страшное, но случилось точно и случилось то для чего нужен был этот кипишь для отвода глаз.

dyadya_Sasha Собкор
22:21:19 2017-05-25

Прекрасный материал для написания захватывающих детективов. Думаю, что уже пишут. Поскольку места и направлений для домыслов предостаточно, то и детективов будет не мало, один из которых будет правдой. Но громче всего будут озвучиваться версии уводящие от правды.

В...а
22:15:20 2017-05-25

Брокеры?!

vla_va
22:12:57 2017-05-25

Русский след поищут

НинаК
22:03:22 2017-05-25

Ищут все, найдут!

ek
21:47:59 2017-05-25

веревочка вьется, но скоро!

kva-kva
21:33:48 2017-05-25

пароль известен был...

mk.insta
21:01:44 2017-05-25

шито белыми нитками

Dvakota
20:44:53 2017-05-25

Хорошие рекомендации, особенно последний пункт .

orw_mikle
20:21:41 2017-05-25

Спасибо, очень познавательно, но все это происки ЦРУ.

aleks_ku
20:18:56 2017-05-25

интересная очень статья

iAFC
18:40:32 2017-05-25

Судя по описанию работали нубы.

B0RIS
18:23:34 2017-05-25

Спасибо. Полезно знать.

krant
17:30:38 2017-05-25

Если "мы ничего не утверждаем и не пытаемся делать предположения", стоило огород городить!

forrus
15:39:41 2017-05-25

Больше агрессивной рекламы на просторы интернет нужно Вам кидать.

Natalya_2017
15:11:36 2017-05-25

Спасибо. Наконец-то хорошо объяснили что это было.

Ruslan
15:08:59 2017-05-25

Спасибо за выпуск и за надежную защиту!

a13x Собкор
14:52:33 2017-05-25

Как поймают - сразу новый выпуск в Антивирусную правду нужно! :)

Шалтай Александр Болтай Собкор
14:45:50 2017-05-25

Да согласен WannaCry - вполне заурядный троянец. Да и хакерам поживиться не удалось.
Dr.Web как всегда на высоте!

Роза
14:41:46 2017-05-25

Спасибо , разъяснили .

Любитель пляжного футбола Собкор
14:31:02 2017-05-25

Спасибо. Прочитал, получается, никакой это не супервирус был, просто его так раскрутили в СМИ (подобные новости я и не читаю, мне вполне хватает "Антивирусной правды"). И навредить ему удалось из-за безграмотности пользователей, да и подзаработать у злоумышленников тоже не получилось. :)))

Sasha50 Собкор
13:43:02 2017-05-25 Именинник

Я думаю, что это было "проба пера". И "Только поражающая безграмотность админов позволила нанести ущерб".

Mefch
13:38:51 2017-05-25

"Вон где собака зарыта"

maxtat
13:31:14 2017-05-25

Есть официальная точка зрения, а есть не совсем? Интересно!..

Stan
13:08:29 2017-05-25

Позновательно!

Пaвeл Собкор
12:55:28 2017-05-25

@Morpheus, видимо это сбой в Матрице.

Пaвeл Собкор
12:52:22 2017-05-25

Интересный факт, что атака осуществлялась из одной конкретной точки. По карте не совсем понятно какая это страна, но ясно что в Европе. Судя по минимальному заработку - это видимо были начинающие хакеры.

Viktoria
12:15:24 2017-05-25

Очень хороший выпуск!

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

WannaCry. Кто автор?

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей