WannaCry зупинив конвеєри Honda

0
64

WannaCry не закінчив свою чорну справу. 21 червня 2017 року компанія Honda Motor Co. повідомила, що їй довелося зупинити конвеєр на заводі Sayama (Японія) на один день після того, як на комп’ютерах був виявлений криптовимогатель WannaCry, глобальна епідемія якого пройшла і начебто закінчилася в минулому місяці.

Завод на північно-заході Токіо не працював у понеділок 19 червня. У звичайні дні тут виробляють седан Accord, Мінівен Odyssey і компактні багатоцільові автомобілі Step Wagon, з денним обсягом виробництва близько 1000 автомобілів.

Представники компанії Honda розповіли: ще у неділю було виявлено, що вірус вразив корпоративні мережі в Японії, Північній Америці, Європі, Китаї та інших регіонах, хоча компанія зробила дії по захисту комп’ютерів ще в середині травня, коли відбулася глобальна епідемія WannaCry.

Представник компанії не пояснила, як в мережу потрапила версія WannaCry через 37 днів після того, як був зареєстрований домен, який опустив «стоп-кран» на поширення шкідників. Можливо, сисадміни компанії заблокували трафік до цього домену. Інша можливість, що в мережі виявлена якась нова версія криптовимогателя. Втім, всі вони використовують ту ж уразливість в Windows, а IT-відділ повинен був закрити цю уразливість ще в травні.

Виробництво на інших заводах Honda не постраждало, а на заводі Sayama відновилося вже у вівторок.

Потрібно зауважити, що в травні на хвилі епідемії від криптовимогателя постраждали і інші автовиробники, у тому числі Renault SA і Nissan Motor Co. Цей альянс зупинив виробництво на своїх заводах в Японії, Великобританії, Франції, Румунії та Індії. Виробництво в Тольятті тривало в нормальному режимі.

WannaCry: коли друга хвиля?

Коли очікувати другу хвилю WannaCry, яка може бути більш сильною, ніж перша? На це питання ніхто не знає відповіді, але експерти однозначно прогнозують, що нові версії криптовимогателя обов’язково з’являться. Яка з цих версій може одержати широке поширення, і тоді хвиля заражень придбає характер епідемії.

Перша версія WannCry в середині травня заразила приблизно 727 000 комп’ютерів приблизно в 90 країнах, але з тих пір швидкість поширення форков хробака значно уповільнилася. Абсолютна більшість заражень довелося на комп’ютери з операційною системою Windows 7. Справа в тому, що в системі Windows 10 вже закрита уразливість, яку використовує експлойт АНБ EternalBlue, утекший в онлайн і застосований авторами WannaCry. А комп’ютери Windows XP SP3 просто не можуть виконати код шкідників, випадаючи в синій екран смерті».

Зупинити поширення інфекції вдалося зовсім випадково завдяки одному хлопцеві. Цей герой — 22-річний хакер і блогер з Великобританії MalwareTech, чиє ім’я поки не стало надбанням гласності. Як він розповідав, що в той день у нього був вихідний, він прокинувся близько 10:00 і залогінився в національну систему відстеження кіберзагроз, щоб подивитися за поширенням банківського шкідників Emotet — найзначнішої події останніх днів. Нічого незвичайного не помітив і пішов снідати. Коли повернувся додому близько 14:30, то виявив купу повідомлень про зараження різних лікарень і медичних систем криптовимогателем. Такі зараження відбувалися й раніше, але тут ніби масштаб був більше, ніж раніше. За допомогою свого друга — хакера під ніком Kafeine — хлопець швидко дістав зразок шкідників, запустив його у віртуальній машині і побачив, що той відправляє запити на незареєстрований домен.

Статистика Cisco Umbrella показала, що запити до цього домену почалися в п’ятницю о 8:00 ранку і росли лавиноподібно. Блогер зареєстрував домен на себе за 8 фунтів ($10,69). Це стандартна практика, – каже він. Ботнети часто генерують назви доменів для командних серверів (C2C) кожен за своїм алгоритмом. Алгоритм відомий зловмисникам, так що вони можуть завчасно зареєструвати домен. Іноді дослідникам і антивірусним компаніям вдається випередити їх, і тоді вони отримують можливість зсередини вивчити роботу командного центру ботнету, зібрати дані про географічному розподілі ботів, провести зворотний розробку софта. Так що реєстрація цих доменів — нормальна справа. MalwareTech розповів, що за минулий рік зареєстрував кілька тисяч доменів.

Оскільки всі заражені стукали до цього домену, отримавши контроль над ним, дослідник по логам зміг скласти список IP-адрес і карту заражень. До вечора з’ясувалося, що саме реєстрація домену зупинила подальше поширення криптовимогателя. Швидше за все, таким чином автори шкідників реалізували захист від аналізу своєї програми (захист від віртуального оточення).

Незабаром після першого були виявлені другий і третій варіанти WannaCry, у тому числі які працюють без своєрідного «стоп-крана» у вигляді запитів до неіснуючого домену. Напевно з тих пір з’явилися й інші версії. Можливо, якась з них версій добралася і до заводів Honda. Складно знайти виправдання для айтішників Honda, які досі не встановили патчі від Microsoft.

Оцініть статтю

НАПИСАТИ ВІДПОВІДЬ

Please enter your comment!
Please enter your name here