На этой неделе специалисты множества компаний занялись изучением малвари WannaCry (также известной под названиями Wana Decrypt0r, WCry, WannaCrypt0r и WannaCrypt), которая 12 мая 2017 года атаковала пользователей и организации более чем в 100 странах мира, использовав для этого похищенные у АНБ эксплоиты ETERNALBLUE и DOUBLEPULSAR.
«Лаборатория Касперского» и Symantec уже представили первые отчеты о вредоносе, сообщив, что в коде WannaCry удалось обнаружить сходство с малварью известной хакерской группы Lazarus. Напомню, что данная группировка известна атаками на кинокомпанию Sony Pictures Entertainment в 2014 году, также Lazarus подозревают в атаках на банки Сеула, СМИ и вооруженные силы Южной Кореи. В 2016 году хакеры и вовсе едва не совершили «киберограбление века»: злоумышленники успешно похитили 81 млн долларов у Центробанка Бангладеш и только чудом не сумели украсть почти миллиард.
Также, начиная с 12 мая 2017 года, независимые эксперты и компании внимательно следят за биткоин-кошельками операторов Wana Decrypt0r и поступающими на них платежами. То есть в сети можно найти не только карты, через которые можно наблюдать за атаками шифровальщика в реальном времени (1 и 2), но и сервисы, которые подсчитывают доходы его операторов. Так, в настоящее время хакеры заработали более 85 000 долларов.
Как оказалось, делать свои биткоин-кошельки достоянием общественности операторы вредоноса не планировали. Проблему в коде малвари заметили специалисты Symantec Security Response. По их словам, в код WannaCry закрался баг, который провоцирует состояние гонки (race condition) и не дает шифровальщику генерировать уникальный биткоин-адрес для каждой отдельной жертвы. Из-за этого вымогатель оперирует только тремя известными специалистам кошельками и не имеет возможности проследить платежи, поступившие от конкретных пользователей.
#WannaCry has code to provide unique bitcoin address for each victim but defaults to hardcoded addresses as a result of race condition bug
— Security Response (@threatintel) May 16, 2017
Скорее всего, именно этим объясняется тот факт, что пока никто не сообщал о пользователях, которые благополучно расшифровали бы свои файлы после выплаты выкупа. Эксперты полагают, операторы WannaCry попросту не могут восстановить файлы некоторых жертв. Специалисты Symantec Security Response пишут, что авторы вредоноса уже устранили вышеописанный баг, но, тем не менее, большинство заражений были подвержены данной проблеме.
@symantec #WannaCry attackers’ efforts to fix Bitcoin bug indicate that their main goal was to make money. #infosec
— Security Response (@threatintel) May 17, 2017