Самый опасный вирус-вымогатель под названием WannaCry терроризирует компьютеры по всему миру уже третий день, и, несмотря на активное противодействие служб кибербезопасности и антивирусных компаний, до сих пор сохраняется опасность заражения, которое приводит к шифрованию большинства важных файлов на атакованых компьютерах. Как уже стало привычным в последние годы, вымогатели требуют за расшифровку пользовательских файлов выкуп в биткоинах.

wannacry

Почему же этот вирус так широко распространился? Как и все самые известные вирусные эпидемии, он использовал уязвимость операционных систем Windows: ей подвержены все ОС Microsoft, до Windows 10 включительно, использующие старую версию протокола обмена файлами по локальной сети (SMB). Эта уязвимость под названием EternalBlue была обнаружена и закрыта Microsoft еще в марте этого года, однако огромное количество пользователей и организаций не используют автоматическое обновление. Именно они стали жертвами атаки. Для того, чтобы предотвратить заражение, достаточно установить указанное выше обновление. Тем не менее, сегодня может случиться очередное "обострение", так как множество офисных сотрудников, пришедших на работу в понедельник, включили свои компьютеры и вошли в Интернет. И не все эти компьютеры защищены.

Хронология событий

Массовое заражение началось еще в пятницу вечером - о нем сообщили сразу несколько британских клиник, которые были вынуждены остановить работу. Позже пошли сообщения от организаций по всему миру: автопроизводителя Renault, германского оператора железных дорог Deutsche Bahn и т. д. Информация о количестве атакованных компьютеров существенно отличается, что может быть связано с разным временем сбора информации: по данным Лаборатории Касперского, атакованы более 45 000 компьютеров в 74 странах. Avast сообщает о 126 000 жертвах в 104 странах. По информации от Европола, жертв еще больше: от атак пострадали более 200 000 людей и организаций в 150 странах. То есть, эпидемию можно считать действительно глобальной. 

Значительное количество атак пришлось на Россию: под удар попали телекоммуникационные операторы «МегаФон» и «ВымпелКом», а также МВД и Минздрав, Следственный комитет и МЧС, РЖД и Сбербанк.

география вируса

Президент Microsoft Питер Смит возложил вину за распространение информации об уязвимости в Windows на американские спецслужбы: по его мнению, хакеры получили ее, украв данные из сетей АНБ и ЦРУ США. Смит даже сравнил взлом серверов спецслужб с кражей ракет "Томагавк" из военных арсеналов. О связи WannaCry с АНБ ранее заявлял и беглый сотрудник агентства Эдвард Сноуден.

Результаты атаки

Несмотря на масштабы бедствия, хакерам не удалось много заработать: по данным на 14 мая, на их адреса перечислено всего 6.46 BTC (немногим более $10 000). То есть, заплатили им всего лишь три десятка жертв: за разблокировку файлов хакеры требуют $300 в биткоинах. Вирусы-шифровальщики уже широко известны, и люди знают, что платить, чаще всего, бесполезно - это не гарантирует получения ключа для расшифровки. Кроме того, многие организации стали более серьезно относиться к компьютерной безопасности.

Атака такого масштаба с требованием выкупа в биткоинах может привлечь нежелательное внимание правительств и правоохранительных органов к криптовалютам и вылиться в очередное ужесточение регулирующих мер, хотя в данном случае криптовалюты выступили только как инструмент получения выкупа. Что еще более странно - хакеры до сих пор продолжают использовать биткоины, хотя на сегодня выросшая ликвидность анонимных криптовалют (Monero, Dash, Zcash) позволяет им гораздо лучше обезопасить себя от внимания спецслужб.

Но за глобальными событиями, не следует забывать о том, что атаки случаются и в мире криптовалют.

Poloniex под атакой уже неделю

На фоне повышенной рыночной активности на криптовалютных рынках, крупнейшая биржа альткойнов Poloniex подверглась масштабной и продолжительной DDOS-атаке. Хотя биржа смогла частично нейтрализовать эту проблему, многие пользователи по-прежнему сообщают о задержках, связанных с выполнением сделок и выводом криптовалют. Пользователи жалуются, что их заявки на снятие средств зависают и даже отменяются, а Poloniex не спешит признаваться о проблеме.

Атака DDoS началась в ночь на 9 мая, доступ к бирже был ограничен в течение нескольких часов. С перерывами она продолжается до сих пор, обострения наблюдались 12 и 13 мая. Poloniex оповестила о проблеме публикацией сообщения в своем Twitter:

«DDoS. Мы работаем над устранением проблем».

Хотя методы направленные на устранение DDoS были эффективны, проблемы на этом не закончились. Некоторые трейдеры утверждают, что их ордеры были отменены. Кроме того, пользователи в чате жаловались на то, что заявки на ввод и вывод не проходят. На данный момент эта проблема разрешена, за исключением кошелька ETC и нескольких более мелких альткойнов, которые находятся на техобслуживании.

Заморозка счетов, приостановка вывода средств и простой крайне негативно сказываются на репутации биржи в такое критическое время.

Трейдеры подают коллективный иск против Poloniex

Утверждая о «возможной инсайдерской торговле» один из трейдеров решил подать в суд на биржу. Видимая нисходящая динамика в сочетании с многочисленными постоянными техническими проблемами на Poloniex привела к тому, что многие трейдеры потеряли свои маржинальные позиции, особенно крупные были на ETH. Один из них утверждает, что потерял около $250 000 из-за этого безумия.

Утверждение об инсайдерской торговле не так надумано, если учесть дополнительный рост стоимости биткоина. Отсутствие доступа к сайту в течение нескольких часов в ночь на 9 мая привело к невозможности аннулировать ордеры на торговой платформе Poloniex.

Дело трейдеров против Poloniex взяла на себя американская юридическая фирма Berns Weiss LLP.

В то же время биржа Kraken столкнулась с аналогичными проблемами. Биржа предоставила немного больше информации о сложившейся ситуации:

«Большое количество ордеров на продажу ETH спровоцировало каскад ликвидаций. Резкое снижение ликвидности замедлилось благодаря системе защиты рыночных цен Kraken. Механизм торговли и системы риска функционировали так, как им положено».

Как утверждают обе биржи, отсутствие полноценного доступа пользователей было спровоцировано исключительно DDoS атакой.

Сейчас самое подходящее время, чтобы напомнить пользователям о недостатках хранения больших сумм на счетах бирж. Лучшим вариантом станет хранение криптовалют в кошельке на своем компьютере, так как в таком случае никакие DDoS или простои не смогут отнять у вас монеты. Если же вы оставите средства на бирже, в момент наступления паники они могут быть недоступны.

Атака, которой не было: маленькая Грузия в глобальном блокчейне

И, в заключение, дополним рассказ историей с более благополучным концом. Впрочем, она еще не закончилась. На прошлой неделе мы писали об очередной спам-атаке заполняющей сеть Биткоина огромным количеством странных транзакций, фактически содержащих только комиссию майнеров, в результате чего mempool майнеров продолжает расти до рекордных величин. 

mempool

Однако, пользователи форума bits.media обнаружили в них и другие закономерности. Большинство этих транзакций, независимо от размера комиссии, включал в свои блоки пул Bitfury - крупнейший из сторонников SegWit среди майнеров Биткоина. Кроме того, Bitfury с апреля 2016 года сотрудничает с правительством Грузии для развертывания на базе блокчейна государственного реестра недвижимости этой страны. Работы по госреестру недвижимости курирует министр юстиции Грузии, Теа Цулукиани.

Описываемые "спам-атаки" на сеть Биткоина начались в феврале 2017 - через месяц после начала активной работы над проектом. После сравнения хэшей нулевых выходов транзакций "спамера" с хэшами документов грузинского госреестра, один из пользователей форума обнаружил, что они совпадают. После этого ситуация прояснилась: Bitfury периодически выгружает в блокчейн новые записи реестра (один документ - одна транзакция), а позже подтверждает их в блокчейне. Именно этим объясняется периодическое "вываливание" в блокчейн нескольких тысяч транзакций примерно с десятка адресов.

госреестр Грузии

Таким образом, маленькая Грузия своим реестром недвижимости занимает очень весомое место в глобальном блокчейне Биткоина. Это еще раз доказывает, насколько сеть Биткоина нуждается в улучшении масштабирования - ведь запретить использовать ее в таком качестве никто не может. Еще несколько подобных проектов, и пропускная способность сети будет гарантированно превышена. Что интересно, решения, подобные Lightning Network, никак не помогут решить проблему, так как все транзакции госреестра требуют подтверждения именно через блокчейн по отдельности, а не только "суммирующей" обороты в канале транзакции.

Не совсем понятно, почему компания Bitfury выбрала для ведения реестра именно блокчейн Биткоина, а не какого-либо альткойна, или не создала собственный. Пусть даже он самый безопасный и неизменность хэшей документов в нем гарантируется лучше, но размещение транзакций в блокчейне Биткоина требует издержек (так как часть транзакций подтверждается другими пулами) и значительно большего времени на подтверждение. Кроме того, собственный блокчейн или сайдчейн позволил бы компании настроить правила размещения документов в соответствии с требованиями заказчика, и даже корректировать их при необходимости, в то время как в блокчейне Биткоина всегда придется следовать общему консенсусу.

Если грузинский эксперимент окажется удачным, это послужит дополнительным стимулом к появлению специально разработанных блокчейнов, предназначенных исключительно для ведения государственных и корпоративных реестров - не только недвижимости, но и любых объектов, где главным требованием является надежность хранения и гарантия неизменности записей. Например, подобное решение уже тестируется в Великобритании.