На 12 май 2017 г. компютри в болници, фабрики и държавни институции започнаха да се рестартират като на команда. Екраните почервеняха. Системи отказаха. Атака без предупреждение – и без милост. Щетите? Оценени на над $4–8 млрд.
Последиците? Исторически.
Важно
Северна Корея. Една светлина посред нощ.
В малка стая в покрайнините на Пхенян програмист от групата, позната на света като Lazarus, наблюдава стар машинен код. Ръцете му треперят от умора.На екрана пред него стои едно парче, което не би трябвало да съществува извън сървърите на американската NSA: EternalBlue. Подарък, оставен от хаоса около Shadow Brokers. В стаята е тихо. Само едно неоново жужене. Програмистът пише, трие, пак пише. Комбинира стар рансъмуер прототип със свръхмощния експлойт.
На разсъмване прототипът е готов. Кодът, който ще прекъсне операции в болници, ще спре производства и ще блокира оборудване, вече не принадлежи на никого.
Испания. Първият гръм.
12 май 2017 г.Администратор в Telefónica отваря служебния си лаптоп. Малко след това системите една по една изчезват.
Колеги започват да крещят от съседните етажи. Екраните стават червени.
„Oops, your files have been encrypted.“ Телефони прегряват. Сървърите падат. Трафикът към мрежата показва аномалии, които никой не е виждал преди. До обяд атаката вече е в Португалия, Русия и Великобритания.
Лондон. Националната здравна служба блокира.
Медицински сестри опитват да отворят пациентски досиета, но системата отказва.Хирурзи не могат да достъпят изображения от скенери.
Линейки се връщат обратно.
Операции се отменят в последния момент. Най-голямата здравна система в Европа – NHS – е в колапс за минути.
Катастрофата
До края на деня WannaCry е инфектирал над 230 000 устройства в 150+ държави.Сред засегнатите:
- Болници
- Фабрики
- Банки
- Автомобилни гиганти
- Държавни институции
FedEx отчита огромни закъснения.
Deutsche Bahn показва странни съобщения по коловозните табла. Паника? По-скоро дезориентация.
Никой не разбираше какво става.
Всичко беше твърде бързо.
Майсторският (и опасен) план
Как се случи това?WannaCry комбинира три разрушителни елемента:
- EternalBlue – експлойт на NSA за SMB протокола (MS17-010)
- DoublePulsar – бекдор за ултрабързо заразяване
- Ransomware компонент – криптиране + социално инженерство
Засегнати организации и щети
- NHS (Великобритания) – десетки отменени операции; блокирани системи в над 80 болници.
- Renault-Nissan – прекратено производство в няколко завода.
- FedEx – сериозни логистични забавяния и преизчислени загуби.
- Deutsche Bahn – информационни табла, поразени от зловредния екран.
- Ministry of Interior (Русия) – хиляди машини извън строя.
Точните суми варират, но оценките поставят общия глобален ефект между $4 и $8 милиарда загуби.
Графики
Типове разходи след атаката (индикативно)
Най-силно засегнати сектори
Малтфорн, Англия. Кил-суич, открит от случаен герой.
Изследователят Маркус Хъчинс (MalwareTech) работи в тясна кухня, превърната в лаборатория.Изморен, с чаша студено кафе, той разглежда подозрителен DNS заявителен модел.
Забелязва странен домейн.
Решава да го регистрира – просто от любопитство. И в този момент… Светът спира да гори. Регистрирането на домейна активира вграден кил-суич.
Вирусът изведнъж спира да се размножава. Светът му дължи тишината след бурята.
Уроците от един сринат свят
- Критичните пачове трябва да се прилагат незабавно. MS17-010 бе публикуван два месеца преди атаката.
- Лошата сегментация превръща инцидент в катастрофа. SMB латерално движение ускори хаоса.
- Държавни експлойти не трябва да изтичат. Един изтекъл инструмент на NSA парализира света.
- Киберзастраховането беше неподготвено. Много застрахователи избягаха зад клаузата „act of war“.
Прагматичен чеклист за CISOs
- Пълен инвентар на системи + приоритетен пачинг на SMB уязвимости.
- Мрежова сегментация срещу латерално движение.
- Zero-trust политики за критични системи.
- Резервни копия (offline/immutable) + DR тренировки, симулиращи wiper сценарий.
- Мониторинг за странни DNS заявки и kill-switch логика.
- План за бързо изолиране на сегменти в случай на разпространяваща се инфекция.
Често задавани въпроси
Кой стоеше зад WannaCry?
Как се разпространяваше толкова бързо?
Възможно ли е нов WannaCry?
Научете уроците от WannaCry – проверете сегментацията, SMB политиките и DR плана си още днес.
