Когда и почему стоит ожидать новых атак с применением WannaCry

Как сообщает Европол, в понедельник, 15 мая, следует ожидать новую волну кибератак с использованием вымогательского ПО WannaCry. По данным ведомства, по состоянию на 14 мая число заражений достигло порядка 200 тыс. и продолжает расти, а количество затронутых атаками стран увеличилось до 150.

Как пояснил глава Европола Роберт Уэйнрайт, возобновление атак ожидается в понедельник, поскольку начнется рабочая неделя и больше сотрудников различных организаций включат свои компьютеры. По словам Уэйнрайта, недавние атаки с использованием WannaCry являются беспрецедентными. Эксперты уже в течение некоторого времени рассматривают вымогательское ПО как растущую угрозу, однако таких масштабов она не достигала никогда.

Напомним, 12 мая мир захлестнула волна атак с использованием вымогателя WannaCry. Программисту из Великобритании под псевдонимом MalwareTech удалось  временно приостановить атаку. Исследователь обнаружил, что вредонос обращается по адресу iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com и решил зарегистрировать домен для отслеживания его активности. Как выяснилось, адрес был зашит в коде WannaCry на случай, если его потребуется остановить.

Программист временно приостановил распространение вымогателя, однако угроза не миновала. Исследователи безопасности продолжают обнаруживать новые варианты WannaCry с другими позволяющими отключить их доменами, а то и вовсе без таковых. В частности, о новом варианте вредоносного ПО сообщил ИБ-эксперт Матье Суиш (Matthieu Suiche). Обнаруженная им версия WannaCry использует другой домен, поэтому принятые британским программистом меры на нее не подействовали.

Как пояснил MalwareTech, функция остановки распространения вредоноса предусмотрена в SMB-черве, а не в вымогательском модуле. «Обычным способом вымогатель распространялся задолго до этого и будет существовать еще продолжительное время. То, что мы остановили, являлось SMB-червем», - пояснил исследователь изданию The Hacker News.

Исследователь также сообщил  о попытке неизвестных украсть зарегистрированный им домен для остановки атак WannaCry. Похоже, попытка похищения была предпринята хакерами из Китая. Как пояснили эксперты «Лаборатории Касперского», похитители могли преследовать две цели. Во-первых, их могло интересовать количество заражений, а во-вторых, они попытались не позволить исследователю остановить атаки. Вряд ли домен интересовал самих авторов WannaCry, уверены в ЛК. Разработчикам было проще запустить новый вариант вредоноса с минимальными изменениями.  

С начала вредоносной кампании хакеры заработали более $42 тыс. в биткойнах, однако еще не сняли деньги со счетов. К настоящему времени зафиксировано 110 случаев уплаты жертвами выкупа. Сотрудники правоохранительных органов следят за тремя подконтрольными злоумышленникам биткойн-кошельками, поэтому средства до сих пор не были выведены.