12 мая компании и организации из различных государств мира, в том числе России, начали сообщать о многочисленных случаях атак вымогательской программы WannaCry.
Впервые шифровальщик WannaCry был зафиксирован в феврале этого года, но в то время эксперты не придали ему большого значения. На деле до сих пор программа была почти неактивна, но недавно появилась ее новая версия (2.0), применяющая SMB-эксплоит, разработанный в Агентстве национальной безопасности США. Данная утилита была ранее опубликована хакерами The Shadow Brokers.
Одним из первых на новую версию WannaCry обратил внимание исследователь информационной безопасности Kafeine. Он заметил, что WannaCry был обновлен и начал работать с эксплоитом ETERNALBLUE, разработанным в АНБ для уязвимости в протоколе SMBv1.
В течение нескольких часов WannaCry инфицировал десятки тысяч компьютеров. На данный момент вымогательская программа заразила 200000 компьютеров в 150 государствах. Среди пострадавших крупные компании и организации в странах Азии, Европы, Северной и Южной Америки. Так, в России пострадали компания «Мегафон» и Министерство внутренних дел.
Примечательно, что еще в марте специалисты Microsoft выпустили патч для проблемы ETERNALBLUE в рамках бюллетеня MS17-010. Таким образом, многие компании и пользователи стали жертвами WannaCry ввиду своей халатности, поскольку они вовремя не установили обновление.
Подробнее о проблеме вымогательских программ вы можете прочесть в специальном экспертном материале SecureNews.