Наделавший много шума шифровальщик WannaCry все еще представляет собой серьезную опасность.
Об этом сообщили специалисты британской исследовательской компании Kryptos Logic, сотрудник которой фактически остановил распространение опасного зловреда в мае прошлого года.
Как утверждают эксперты, только в марте 2018 было зарегистрировано около 100 млн. обращений к домену-выключателю WannaCry, выполненных с 2,7 млн уникальных IP-адресов. Это означает, что зловред продолжает распространяться, несмотря на снижение количества зараженных компьютеров. Напомним, что в оригинальной версии WannaCry присутствовал встроенный тормозной механизм, который запускался при успешном обращении к определенному домену. Позже преступники неоднократно меняли код программы и в конце концов отказались от рубильника, но при этом нарушили и механизм шифрования.
Недавняя вспышка активности WannaCry на компьютерах компании Boeing свидетельствует о том, что зловред еще рано списывать со счетов. В случае с авиагигантом масштабного ущерба удалось избежать, однако присутствие WannaCry в сети одного из крупнейших производителей не может не вызывать тревогу.
Необходимость защиты критически важных промышленных систем отметили в своем недавнем отчете эксперты «Лаборатория Касперского». По данным компании, АСУТП нескольких отечественных предприятий также пострадали от атак шифровальщика.
Специалисты Kryptos Logic выделяют два способа возникновения очагов заражения WannaCry, актуальных на сегодняшний день. Вспышку зловреда может спровоцировать временная недоступность домена-выключателя, например из-за сбоя в интернет-соединении. Если хотя бы один сервер корпоративной сети при этом будет заражен активной версией шифровальщика, она быстро распространится на другие устройства.
Чтобы застраховаться от подобных рисков, большинство крупных компаний строит свою защиту от WannaCry на базе собственных прокси. Второй сценарий связан с возможностью заражения в период проведения регламентных работ на таких ресурсах.
И в том и в другом случае, чтобы угроза распространения зловреда стала реальной, в корпоративной сети должно находиться хотя бы одно устройство с незакрытой уязвимостью, которую использует эксплойт EternalBlue, доставляющий WannaCry на компьютер. Апдейт для Windows, устраняющий брешь, был выпущен в марте прошлого года, еще до начала атаки WannaCry. Однако, как утверждают специалисты, до сих пор остается немало систем, где MS17-010 по-прежнему не установлен.