Минувшее воскресенье отметилось второй годовщиной эпидемии шифровальщика WannaCry, охватившей 150 стран по всему миру. Эксперты по информационной безопасности, которые продолжают следить за активностью зловреда, предупреждают — угроза остаётся актуальной, а счёт жертвам растёт по сей день.
12 мая 2017 года мир узнал, почему нельзя откладывать обновления Windows — всего за несколько часов вымогатели заблокировали сотни тысяч компьютеров по всему миру, используя уязвимость Windows, патч к которой вышел двумя месяцами ранее. От злоумышленников пострадали частные пользователи и крупные предприятия, государственные организации и телекоммуникационные компании. Даже Министерство внутренних дел РФ сообщило о поражении 1000 компьютеров в своём парке.
Произошедшее стало испытанием для ИТ-служб, которым пришлось отвечать на множество неприятных вопросов. Почему не поставили патч? Когда в последний раз делали резервную копию данных? Есть ли способ не платить выкуп? Ещё раз, почему не поставили патч?
Казалось бы, атака WannaCry должна была разделить историю на «до» и «после», стать назиданием для всех пользователей, которые раз за разом закрывают уведомление об очередном апдейте. Тем не менее, по оценкам Malwarebytes, только в 2019 году WannaCry поразил по 90 тыс. компьютеров в Индии и Малайзии, ещё 95 тыс. жертв — в Индонезии. Развитые страны также не до конца устранили угрозу, например, в США с начала года шифровальщик атаковал 3,3 тыс. пользователей.
На сотнях тысяч машин WannaCry остаётся в дремлющем виде — об этом говорит анализ обращений к домену-блокировщику, который был зарегистрирован вскоре после первых атак. В конце 2018 года эксперты сообщали, что за неделю этот сайт получает по 17 млн запросов с более чем 630 тыс. IP-адресов, распределённых почти по 200 странам. Количество обращений увеличивается в рабочие часы, когда пользователи включают заражённые компьютеры.
Это не единственное наследие 2017 года, с которым приходится бороться ИБ-специалистам. Бреши EternalBlue и EternalRomance используют в своих атаках банковские трояны Emotet и TrickBot, криптомайнеры Adylkuzz, WannaMine и Smominru, DDoS-ботнеты и прочие опасные зловреды. В Интернете можно найти 1,7 млн хостов с уязвимым SMB-подключением, а реальное количество непропатченных машин ещё больше, поскольку далеко не все из них доступны для онлайн-сканирования.