Кругозор Пираты XXI века: как хакеры вымогают деньги в сети
Кругозор
Пираты XXI века: как хакеры вымогают деньги в сети
© twitter.com/fendifille
Май 2017 года войдет в историю кибербезопасности как один из самых «жарких» периодов. За неполные три недели случилось как минимум три крупных хакерских атаки, последствия которых будут вспоминать не один год. «РБК Стиль» разбирается в ситуации.

Шантаж Disney

26 мая в мировой прокат выходит пятая часть «Пиратов Карибского моря»«Мертвецы не рассказывают сказок», и, учитывая внушительный производственный бюджет, бесcменного Джонни Деппа в главной роли и общую популярность франшизы, фильм должен был стать одним из самых кассовых проектов этого года. Однако помешать картине собрать заветный миллиард долларов могут хакеры. 15 мая издание Deadline сообщило, что группа анонимных хакеров получила в свое распоряжение цифровую копию финальной версии фильма и грозит выложить ее в сеть, если Disney не заплатит выкуп. Его точная сумма не разглашается, но генеральный директор компании Боб Айгер официально подтвердил факт кражи.

Согласно информации сайта, деньги Disney отдавать не планирует и в данный момент сотрудничает с ФБР, надеясь выйти на преступников до того, как фильм попадет в сеть. По мнению специалиста по кибербезопасности Гектора Монсегура, эта задача практически невыполнима, поскольку сотрудникам бюро придется устанавливать местоположение взломщиков постфактум, и хакеры, зная методы работы «федералов», наверняка уже давно удалили все следы. «Это могла быть группа египетских хакеров, которая использовала российское программное обеспечение, а потому все будет указывать на русских, хотя на самом деле атаку провернули египтяне», — рассказал Монсегур журналистам Deadline.

По его мнению, в краже копии «Пиратов карибского моря» скорее всего виноваты дистрибьюторы картины и партнеры Disney: «В Disney, Netflix и Discovery работают высококлассные команды специалистов по информационной защите, однако у небольших производственных компаний бюджетов на них нет, а потому хакеры могут пробиться через их системы защиты довольно легко».

Как бы то ни было, если Disney и ФБР не найдут киберпреступников, фильм, скорее всего, разойдется по крупнейшим торрент-трекерам планеты еще до официальной премьеры. Что не только скажется на стартовом бокс-офисе картины, но и существенно повлияет на ее «послепрокатные» сборы на физических носителях.

 

 

Не сезон для Netflix

Практически в такую же ситуацию двумя неделями ранее попала Netflix, одна из крупнейших стриминговых компаний Америки. Группа хакеров, называющая себя Thedarkoverlord, объявила, что ей удалось получить в свое распоряжение пятый сезон одного из самых популярных ситкомов современности — «Оражневый — хит сезона». Как и в случае с Disney, мошенники потребовали от Netflix выкуп, угрожая выложить видео в сеть. Компания отказалась — и 10 из 13 серий нового сезона сериала тут же очутились на торрент-трекере The Pirate Bay. За два месяца до планируемого официального релиза.

Утечка произошла с серверов компании Larson Studios, специализирующейся на пост-продакшне кино и телепроектов, еще в 2016 году. Тогда хакеры связались со студией и потребовали от нее 50 биткоинов (около $88 тыс. по нынешнему курсу) за нераспространение похищенного контента. Представители Larson Studios сначала согласились — но затем передумали, потому Thedarkoverlord и решили обратиться к Netflix напрямую.

По сообщению хакеров в Twitter, им также удалось украсть готовый к показу контент и других каналов, в числе которых — Fox и National Geographic.

 

 

Вирус против целого мира

12 мая теперь уже точно войдет в историю интернета и кибербезопасности — в этот день, стартовав с Испании, началась самая масштабная кибератака в истории. Вирусом WannaCry за день заразилось около 45 тыс. компьютеров, а сейчас это число превышает 200 тыс. По оценке «Лаборатории Касперского», больше всего пострадали пользователи России и Украины.

WannaCry — это так называемый троян-шифровальщик: он тайно устанавливается на компьютер, а затем «наглухо» шифрует все пользовательские данные, лишая человека не только доступа к ним, но и вообще возможности что-либо делать с устройством. Затем троян меняет обои на рабочем столе, выводя на них инструкцию: для расшифровки необходимо перевести мошенникам $300 (позже эта сумма увеличилась вдвое). После этого, как обещают злоумышленники, компьютер снова будет работать нормально. Никаких гарантий, конечно же, никто не дает. Именно по этой причине специалисты не рекомендуют жертвам WannaCry расставаться с деньгами.

Подобные трояны, требующие выкуп за разблокировку компьютера, существуют довольно давно, однако WannaCry отличается от них в худшую (для жертв) сторону. Во-первых, обычные трояны пользователи чаще всего «ловят» фактически своими руками: скачивая зараженный файл с торрент-трекеров, кликая на подозрительную ссылку или на навязчивый баннер на каком-нибудь сайте. Тут же все происходит почти «автоматически» — вы можете ничего не делать, а вирус уже готовится шифровать данные на ПК. Во-вторых, обычно такие трояны заражают лишь один компьютер. WannaCry же способен копировать себя на устройства в рамках одной сети: заразился один — заразил всех вокруг.

Троян эксплуатирует уязвимость в операционной системе Windows, причем сильнее всего пострадали пользователи Windows 7 и более ранних версий. Это связано с тем, что, например, в Windows 10 программную «дыру» залатали с очередным обновлением еще в марте этого года, поэтому владельцы «десятки» от WannaCry фактически себя обезопасили. Массовость атаки даже привела к тому, что Microsoft в срочном порядке выпустила патч для Windows XP, Windows 8 и Windows Server 2003, хотя их официальная поддержка уже закончилась. Он не спасает уже зараженные компьютеры, однако закрывает «лазейку» для червя на уязвимых системах.

Сильнее всего пострадали от трояна большие компании и предприятия — компьютеры в них практически всегда объединены в глобальную корпоративную сеть. В России о фактах заражения сообщило Министерство внутренних дел, Следственный комитет, МЧС, «Сбербанк» и ряд других банков, «Мегафон» и другие компании. В Испании пострадала Telefónica — один из крупнейших мобильных операторов в мире, в Германии — Deutsche Bahn, основной железнодорожный оператор в стране. В Британии атаке подверглось около 16 госпиталей, из-за чего множество больных не смогли попасть к врачу, а сотрудники клиник лишились доступа к амбулаторным картам пациентов. Всего от WannaCry пострадали жители более 70 стран.

Распространение вируса удалось на время остановить энтузиасту из Британии: он зарегистрировал в сети домен с длинным непроизносимым названием uqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, которое было заложено в коде самого трояна. Попав на компьютер, программа обращалась по этому адресу, не получала ответа (кто в здравом уме будет создавать сайт с таким названием?), расценивала его отсутствие как сигнал к действию и начинала «размножаться» в сети. После создания сайта, вирус «делиться» перестал — но ненадолго. Создатели просто переписали его, обойдя блокировку.

По сообщению CNET, ответственной за создание трояна может быть Северная Корея. Прямых доказательств нет, но есть косвенные улики: Нил Мехта, один из сотрудников Google, сообщил, что исходный код программы практически копирует тот, что использует хакерская группировка Lazarus, которую подозревают в работе на КНДР.

Ситуацию с вирусом прокомментировал Владимир Путин: «Что касается источника этих угроз, то, по-моему, руководство Microsoft об этом прямо заявило, сказали о том, что первичным источником этого вируса являются спецслужбы Соединенных Штатов, Россия здесь совершенно ни при чем».

На данный момент ситуацию с зараженными WannaCry компьютерами решить не удалось. По оценкам The New York Times, если все пользователи, поймавшие вирус, заплатят хакерам, те могут заработать более $1 млрд.