WannaCry. Кто автор?
25 мая 2017
Авторство нашумевшего WannaCry – вопрос, который интересует всех, от правоохранительных органов и специалистов по ИБ до простых пользователей. Изложенное ниже не является официальным мнением компании «Доктор Веб» – это всего лишь размышление о том, насколько легко в условиях недостатка данных обвинить в киберпреступлениях кого-либо в современном цифровом мире.
Начнем просто с фактов:
- Группировка The Shadow Brokers публикует очередную порцию хакерских инструментов, похищенных у группы Equation Group, подозреваемой в связях с Агентством национальной безопасности США. В этот раз публикуются эксплойты для уязвимостей в ОС Windows – от Windows 2000 и Server 2012 до Windows 7 и 8. Опубликованный архив содержит в общей сложности 23 инструмента, в том числе EternalBlue, Oddjob, Easybee, EducatedScholar, EnglishmanDentist, EsikmoRoll, EclipsedWing, Emphasismine, EmeraldThread, EternalRomance, EternalSynergy, Ewokefrenzy, ExplodingCan, ErraticGopher, EsteemAudit, Doublepulsar, Mofconfig и Fuzzbunch.
- В компании Microsoft (уведомленной «неизвестным доброжелателем» о грядущей выкладке) провели анализ эксплойтов и заявили, что уязвимости в протоколе SMB v1-3, эксплуатируемые инструментами EternalBlue, EmeraldThread, EternalChampion, EternalRomance, ErraticGopher, EducatedScholar и EternalSynergy, уже были исправлены в предыдущие годы, а некоторые – устранены в нынешнем году (CVE-2017-0146 и CVE-2017-0147). Патч для уязвимости в контроллерах домена, работающих под управлением Windows 2000, 2003, 2008 и 2008 R2, эксплуатируемой инструментом EsikmoRoll, был выпущен еще три года назад, в 2014 году. Было заявлено, что инструменты EnglishmanDentist, EsteemAudit и ExplodingCan не работают на поддерживаемых версиях Windows, поэтому патчи для них выпускаться не будут.
В частности, уязвимости, которые через некоторое время использовал WannaCry, были закрыты обновлением MS 17-010, выпущенным в марте 2017. - Новый шифровальщик, используя выложенные группировкой The Shadow Brokers инструменты (в частности, EternalBlue и Doublepulsar), начал распространение примерно в 10 утра 12 мая, и уже вечером того же дня СМИ (не производители антивирусов!) стали сообщать о многочисленных заражениях.
- The Shadow Brokers во вторник, 16 мая, объявляет о запуске платного сервиса The Shadow Brokers Data Dump of the Month, ежемесячно предоставляющего подписчикам новые эксплойты для ранее неизвестных уязвимостей в браузерах, маршрутизаторах, мобильных устройствах, Windows 10, а также данные, похищенные из банковской системы SWIFT, и информацию, связанную с ядерными программами России, Китая, Ирана и КНДР.
Создать эксплойт – не значит создать троянца и с его помощью провести атаку.
А кто создал троянца? Кто стоит за атакой — т. е. распространением троянца?
Практически сразу появились сообщения о связи WannaCry и группировки Lazarus.
Отмечается, что фрагменты кода, обнаруженные в предшествующей версии вируса WannaCry, использовались группировкой Lazarus Group, подозреваемой в связях с Пхеньяном.
http://rusgosnews.com/2017/05/17/specialisti-laboratorii-kasperskogo-rasskazali-kto-stoit-za.html
В связи с этим напомним, что приписывается Lazarus Group:
- Успешная атака на кинокомпанию Sony Pictures в 2014 году. Также они ограбили ряд банков, в частности, у центрального банка Бангладеш хакеры украли $81 миллион.
- Атака на межбанковскую систему SWIFT. В частности, в феврале 2016 года хакерам удалось вывести из Центробанка Бангладеш $81 млн.
- Атака на Banco del Austro в Эквадоре в январе 2015 года. В результате было похищено $9 млн.
Серьезная организация, существующая уже лет десять. Успешнейшие операции – заметим, все они основаны на взломе, а не на попытках рассылки вредоносного ПО.
А что WannaCry (описание специалистов «Доктор Веб» здесь)?
- Троянец не упакован и, тем более, не перепаковывается. Подавляющее число троянцев наблюдаются средствами обнаружения примерно 9 минут – WannaCry же атаковал в течение дней с одним и тем же кодом, не пытаясь укрыться от внимания антивирусов. Только поражающая безграмотность админов позволила ему нанести ущерб.
- Троянец представляет собой архив с зашитым внутри ключом распаковки, видимым любому исследователю.
(https://www.linkedin.com/feed/update/urn:li:activity:6269238070189654016)
- Троянец не пытается как-либо замаскироваться в системе – его файлы обнаруживает любой антивирусный файловый монитор.
- Внутри троянца можно увидеть некий почтовый адрес:
00:34 < nulldot> 0x1000ef48, 24, BAYEGANSRV\administrator 00:34 < nulldot> 0x1000ef7a, 13, Smile465666SA 00:34 < nulldot> 0x1000efc0, 19, wanna18@hotmail.com 00:34 < nulldot> 0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY 00:34 < nulldot> 0x1000f024, 22, sqjolphimrr7jqw6.onion 00:34 < nulldot> 0x1000f088, 52, https://www.dropbox.com/s/deh8s52zazlyy94/t.zip?dl=1 00:34 < nulldot> 0x1000f0ec, 67, https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip 00:34 < nulldot> 0x1000f150, 52, https://www.dropbox.com/s/c1gn29iy8erh1ks/m.rar?dl=1 00:34 < nulldot> 0x1000f1b4, 12, 00000000.eky 00:34 < nulldot> 0x1000f270, 12, 00000000.pky 00:34 < nulldot> 0x1000f2a4, 12, 00000000.res
https://habrahabr.ru/company/pentestit/blog/328606
https://habrahabr.ru/post/328548 - Атака осуществлялась из одного места.
- Копеечный заработок хакеров из-за ошибки в модуле приема биткойнов — и из-за этого огромное количество жертв, которые никогда не смогут восстановить данные, потому что просто не могут заплатить выкуп.
Совершенно не похоже на успешных хакеров Lazarus, зарабатывающих миллионы долларов. Добавим, что среди утекших инструментов АНБ была специальная утилита, позволявшая вставлять в текст программы фразы на нужном языке. А уж вставить кусок нужного кода...
#шифровальщик #Trojan.Encoder #киберпреступление #ответственностьАнтивирусная правДА! рекомендует
- Поскольку наши пользователи не пострадали и у нас мало информации о реальных заражениях, мы ничего не утверждаем и не пытаемся делать предположения, не основанные на твердой уверенности. Официальная точка зрения компании «Доктор Веб» на атаку изложена на официальном сайте.
- Подделать следы очень просто. Доказать чью-то причастность к атаке невероятно трудно.
- Мы надеемся, что наступит время, когда авторы и этого троянца займут полагающееся им место. В тюрьме.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
18:37:36 2018-10-31
Toma
16:35:31 2018-10-31
Денисенко Павел Андреевич
13:36:38 2018-08-05
Неуёмный Обыватель
01:40:39 2018-07-03
alex-diesel
14:31:43 2018-04-18
Или узнаем правду когда-нибудь или нет, или неправду...
Или сядут или нет, или не те...
В общем верить нельзя ничему и все может быть, а может и не быть, оказаться правдой и не правдой и вообще вилами на воде...
vasvet
20:47:32 2018-04-05
Инквизитор
11:59:40 2017-08-02
Олбанске вируз!
Вячeслaв
10:48:11 2017-05-31
Littlefish
23:28:17 2017-05-30
AntonIT
12:35:15 2017-05-29
krant
17:49:40 2017-05-26
Людмила
17:01:15 2017-05-26
не смогу.
krant
16:58:25 2017-05-26
Людмила
16:43:21 2017-05-26
если сегодня у вас отвратительное настроение, вы можете забрести сюда попозже.
krant
16:29:59 2017-05-26
Людмила
15:20:17 2017-05-26
"Вы утверждаете наличие в русском языке слов "стоИло" и "стоилО"? "
чтобы не перепутали со словом стойло - и краткое часто не пишут, а используют и.
krant
14:59:55 2017-05-26
krant
14:49:07 2017-05-26
Но позволю заметить, что я в своей скромной реплике никому никаких вопросов не задал, а лишь воскликнул. Быть может, мимоходом. Скорее всего - зря.
Lia00
12:59:12 2017-05-26
Людмила
08:00:08 2017-05-26
@"стоило огород городить! "
Да. СтОило.
razgen
23:29:09 2017-05-25
22:32:54 2017-05-25
Ждем продолжения.
**********
Думаю завтрашний выпуск будет окончанием этой темы, состоящей из нескольких выпусков. Как-то уже стала приедаться здесь эта тема. Вот только как бы выплеснуть информацию о том, что пользователи «Доктор Веб» не пострадали от шифровальщика WannaCry за пределы нашего проекта. Ведь пользователи других антивирусов не заходят сюда, так же как и мы не ходим на их форумы. А хотелось чтобы они знали, что благодаря Dr.Web данная угроза для пользователей продуктов компании "Доктор Веб" прошла стороной.
Б...а
22:32:54 2017-05-25
dyadya_Sasha
22:25:09 2017-05-25
Страшное, не страшное, но случилось точно и случилось то для чего нужен был этот кипишь для отвода глаз.
dyadya_Sasha
22:21:19 2017-05-25
В...а
22:15:20 2017-05-25
vla_va
22:12:57 2017-05-25
НинаК
22:03:22 2017-05-25
ek
21:47:59 2017-05-25
kva-kva
21:33:48 2017-05-25
mk.insta
21:01:44 2017-05-25
Dvakota
20:44:53 2017-05-25
orw_mikle
20:21:41 2017-05-25
aleks_ku
20:18:56 2017-05-25
iAFC
18:40:32 2017-05-25
B0RIS
18:23:34 2017-05-25
krant
17:30:38 2017-05-25
forrus
15:39:41 2017-05-25
Natalya_2017
15:11:36 2017-05-25
Ruslan
15:08:59 2017-05-25
a13x
14:52:33 2017-05-25
Шалтай Александр Болтай
14:45:50 2017-05-25
Dr.Web как всегда на высоте!
Роза
14:41:46 2017-05-25
Любитель пляжного футбола
14:31:02 2017-05-25
Sasha50
13:43:02 2017-05-25
Mefch
13:38:51 2017-05-25
maxtat
13:31:14 2017-05-25
Stan
13:08:29 2017-05-25
Пaвeл
12:55:28 2017-05-25
Пaвeл
12:52:22 2017-05-25
Viktoria
12:15:24 2017-05-25