WannaCry не закончил своё чёрное дело. 21 июня 2017 года компания Honda Motor Co. сообщила, что ей пришлось остановить конвейер на заводе Sayama (Япония) на один день после того, как на компьютерах был обнаружен криптовымогатель WannaCry, глобальная эпидемия которого прошла и вроде бы закончилась в прошлом месяце.
Завод на северо-западе Токио не работал в понедельник 19 июня. В обычные дни здесь производят седан Accord, Odyssey Minivan и компактные многоцелевые автомобили Step Wagon, с дневным объёмом производства около 1000 автомобилей.
Представители компании Honda рассказали: ещё в воскресенье было обнаружено, что вирус поразил корпоративные сети в Японии, Северной Америке, Европе, Китае и других регионах, хотя компания предприняла действия по защите компьютеров ещё в середине мая, когда произошла глобальная эпидемия WannaCry.
Представитель компании не пояснила, как в сеть попала версия WannaCry через 37 дней после того, как был зарегистрирован домен, спустивший «стоп-кран» на распространение зловреда. Возможно, сисадмины компании заблокировали трафик к этому домену. Другая возможность, что в сети обнаружена какая-то новая версия криптовымогателя. Впрочем, все они используют ту же уязвимость в Windows, а IT-отдел должен был закрыть эту уязвимость ещё в мае.
Производство на других заводах Honda не пострадало, а на заводе Sayama возобновилось уже во вторник.
Нужно заметить, что в мае на волне эпидемии от криптовымогателя пострадали и другие автопроизводители, в том числе Renault SA и Nissan Motor Co. Этот альянс остановил производство на своих заводах в Японии, Великобритании, Франции, Румынии и Индии. Производство в Тольятти продолжалось в нормальном режиме.
WannaCry: когда вторая волна?
Когда ожидать вторую волну WannaCry, которая может быть более сильной, чем первая? На этот вопрос никто не знает ответа, но эксперты однозначно прогнозируют, что новые версии криптовымогателя обязательно появятся. Какая-то из этих версий может получить широкое распространение, и тогда волна заражений приобретёт характер эпидемии.
Первая версия WannCry в середине мая заразила приблизительно 727 000 компьютеров примерно в 90 странах, но с тех пор скорость распространения форков червя значительно замедлилась. Абсолютное большинство заражений пришлось на компьютеры с операционной системой Windows 7. Дело в том, что в системе Windows 10 уже закрыта уязвимость, которую использует эксплойт АНБ EternalBlue, утёкший в онлайн и применённый авторами WannaCry. А компьютеры Windows XP SP3 просто не могут исполнить код зловреда, выпадая в синий «экран смерти».
Остановить распространение инфекции удалось совершенно случайно благодаря одному парню. Этот герой — 22-летний хакер и блогер из Великобритании MalwareTech, чьё имя пока не стало достоянием гласности. Как он рассказывал, в тот день у него был выходной, он проснулся около 10:00 и залогинился в национальную систему отслеживания киберугроз, чтобы посмотреть за распространением банковского зловреда Emotet — самого значительного события последних дней. Ничего необычного не заметил и пошёл завтракать. Когда вернулся домой около 14:30, то обнаружил кучу сообщений о заражении различных больниц и медицинских систем криптовымогателем. Такие заражения происходили и прежде, но здесь как будто масштаб был больше, чем раньше. При помощи своего друга — хакера под ником Kafeine — парень быстро достал образец зловреда, запустил его в виртуальной машине и увидел, что тот отправляет запросы на незарегистрированный домен.
Статистика Cisco Umbrella показала, что запросы к этому домену начались в пятницу в 8:00 утра и росли лавинообразно. Блогер зарегистрировал домен на себя за 8 фунтов ($10,69). Это стандартная практика, говорит он. Ботнеты часто генерируют названия доменов для командных серверов (C2C) каждый по своему алгоритму. Алгоритм известен злоумышленникам, так что они могут заблаговременно зарегистрировать этот домен. Иногда исследователям и антивирусным компаниям удаётся опередить их, и тогда они получают возможность изнутри изучить работу командного центра ботнета, собрать данные о географическом распределении ботов, провести обратную разработку софта. Так что регистрация этих доменов — нормальное дело. MalwareTech рассказал, что за прошлый год зарегистрировал несколько тысяч доменов.
Поскольку все заражённые стучались к этому домену, то получив контроль над ним, исследователь по логам смог составить список IP-адресов и карту заражений. К вечеру выяснилось, что именно регистрация домена остановила дальнейшее распространение криптовымогателя. Скорее всего, таким способом авторы зловреда реализовали защиту от анализа своей программы (защита от виртуального окружения).
Вскоре после первого были обнаружены второй и третий варианты WannaCry, в том числе работающие без своеобразного «стоп-крана» в виде запросов к несуществующему домену. Наверняка с тех пор появились и другие версии. Возможно, какая-то из них версий добралась и до заводов Honda. Сложно найти оправдания для айтишников Honda, которые до сих пор не установили патчи от Microsoft.
Комментарии (13)
vlreshet
22.06.2017 16:38Я слабо разбираюсь в производстве, но нафига серверам обслуживающим конвейер — доступ в интернет? Или заразилась какая-нибудь бухгалтерия, а через неё полезло по всей локалке предприятия?
khanid
22.06.2017 19:07+2Вариант — оборудование стучится к производителю, поэтому ему нужен доступ к интернету. Частое же явление.
roboq6
22.06.2017 19:13А может это «подарок» от конкурентов? Типа подослали засланного казачка, он заразил первый компьютер сети, а дальше вирус распространился сам.
ksenobayt
22.06.2017 19:04В статье некорректно указывается, что имя MalwareTech неизвестно — он давно деанонимизировался, и его зовут Marcus Hutchins.
khanid
22.06.2017 19:06Сложно найти оправдания для айтишников Honda
Сложно. Но можно. Производственная линия — это не касса в продуктовом.
Всё же надо окно обслуживания. Плюс доподлинно не известно, как поведёт себя устройство после обновы (если, например, используются какие-нибудь недокументированные функции).
Плюс, возможно, японский менталитет сыграл свою роль, о котором столько слухов ходит.roboq6
22.06.2017 19:16+3Плюс, возможно, японский менталитет сыграл свою роль, о котором столько слухов ходит.
Нет тут никакого менталитета, это банальное «работает — не трожь».
Barcooler
22.06.2017 22:40Доподлинно известно что на крупном производственном предприятии нашей страны как раз на днях стала расползаться эта дрянь.
Хорошо, что большая часть компов и сервера доменные и политиками на них навёрнуты обновления.
Так что на Российских предприятиях думаю волна ещё долго будет идти, просто никто об этом в новостях говорить не будет.
Ivan_83
Хз как они там защищались, но видимо ума снять галку с «сервер доступа к файлам и принтерам сетей мс» во всех сетевых адаптерах не серверных машин ума не хватило, ровно как и накатить патчи на сервера, ровно как и заблочить tcp:445 там где он не нужен, вероятно даже накидываанием ACL в коммутаторы.
Barcooler
На многих производствах есть системы, которые во первых нельзя останавливать, т.к. от их работы зависит производство и соответственно такой останов равносилен остановке производства.
А во вторых на предприятиях выход в интернет как правило закрыт и открыт только через прокси.
Плюс зачастую активно для разных целей используются файловые шары, по этому 445 порт тоже закрыть нельзя. Вот и получаем такую картину.
kukarekuu
Неужели зараженная машина была не за NAT-ом? Или я что-то пропустил, и от последних версий даже NAT не спасает?
VGusev2007
А как спасёт NAT, если через эл. почту произошло заражение одной машины, а затем перекинулось на другие? Ровным счётом — никак.
kukarekuu
Верно, никак. Но, как по мне, так основная отличительная особенность WannaCry заключалась в том, что вирус не рассылался по почте/мессенджерами/соцсетями, а сам загружался на удаленную машину. От пользователя действий не предполагалось никаких, кроме как включить компьютер.
В том случае, потенциальные жертвы были «не видны» за NAT-ом.