Reuters сообщает, что в минувшие выходные компания Honda была вынуждена почти на сутки остановить работу своей фабрики, расположенной в японском городе Саяма, так как системы фабрики были атакованы шифровальщиком WannaCry. Стоит отметить, что это не первый автопроизводитель, пострадавший от WannaCry: в мае 2017 года малварь также проникла в сети Nissan и Renault.
Не совсем понятно, как именно WannaCry смог заразить компьютеры Honda. Ведь распространение шифровальщика почти прекратилось в мае 2017 года, после того как ИБ-специалист, известный под псевдонимом MalwareTech, обнаружил в коде малвари своеобразный "аварийный рубильник": перед началом работы вымогатель обращается к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, проверяя, существует ли он. Если домен не зарегистрирован, малварь начинает шифровать файлы. Однако если домен существует, вымогатель останавливает процесс заражения. Исследователь поспешил зарегистрировать домен, чем практически остановил распространения угрозы.
Заражение систем Honda можно объяснить по-разному. Во-первых, кто-то в компании мог блокировать доступ к домену-"рубильнику", что позволило вредоносу нормально работать. Во-вторых, компания могла стала жертвой одного из многочисленных имитаторов WannaCry. В-третьих, возможно, появилась новая версия шифровальщика, для которой «рубильник» уже не работает. Впрочем, пока исследователи не сообщали об обнаружении новых версий WannaCry.
Представители Honda почти не разглашают детали случившегося. Известно, что заражение сильнее всего ударило по фабрике в Саяме, но также пострадали компьютеры в Китае, Северной Америке и Европе, просто там сотрудникам Honda не пришлось идти на крайние меры и останавливать работу.
Эксперты уже строят теории о произошедшем. Так, MalwareTech полагает, что кто-то из сотрудников Honda мог принести на работу зараженный ноутбук, на котором WannaCry не смог сработать до конца и не зашифровал файлы, однако механизм распространения через SMB функционировал, и вымогатель распространился по сети компании. MalwareTech отмечает, что до сих пор ежедневно наблюдает порядка 200 000 обращений к домену-«рубильнику», то есть малварь регулярно заражает новые устройства, просто не шифрует файлы на них.
Согласно другой теории, Honda может пропускать трафик через прокси, а WannaCry не поддерживает прокси-соединения, из-за чего домен-«рубильник» оказался недоступен и не остановил заражение.