На главную региона

Ход червём

Сибирский бизнес и госструктуры в этом году столкнулись сразу с несколькими мощными атаками вредоносных программ-шифровальщиков, которые вывели из строя сотни тысяч компьютеров по всему миру. Одной из последних атак стало заражение в конце октяб­ря компьютеров вирусом Bad Rabbit. Суммарные убытки только новосибирских организаций от шифровальщиков превысили 100 млн руб. Эксперты прогнозируют развитие киберпреступности и рост активности хакеров.

Фото: Олег Харсеев, Коммерсантъ  /  купить фото

Очень плохой Rabbit

«На 2017 год мы прогнозировали рост числа целевых атак на корпоративный сектор, прежде всего, на финансовые организации (более чем на 50%, по нашим предварительным оценкам). В настоящее время прогнозы сбываются в сочетании с увеличением ущерба пострадавших компаний»,— говорит руководитель поддержки продаж ESET Russia Виталий Земских.

Атаки вредоносных программ-шифровальщиков 2017 года можно сравнить с масштабным заражением вирусом Trojan.Encoder.225 в 2013 году, считает генеральный директор ООО «Атом безопасность» Дмит­рий Кандыбович. «По сути, не важно, что сделает проползший в компьютер вредоносный код, тут важно понимание, что типовая современная ИТ-инфраструктура, построенная на продуктах известных фирм, дырявая, как решето. Сегодня шифровальщик, завтра еще что-то заползет, террористы какие-нибудь или спецслужбы. А в IT сидят взрослые люди и осваивают взрослые средства»,— подчеркивает он.

С начала года мир атаковали как минимум три сменяющих друг друга вируса-шифровальщика — WannaCry, Petya/NotPetya и Bad Rabbit. Эпидемии подверглись многие российские компании и государственные учреждения. Попадая по сети в компьютер, вредоносные программы шифруют хранящиеся файлы и требуют денежный выкуп за их расшифровку. «Проблема резонансных атак 2017 года — их высокая эффективность и скорость распространения,— рассказывает Виталий Земских. — Атакующие отошли от классических схем (социальной инженерии, прежде всего) и успешно протестировали новые векторы заражения. В случае с WannaCry сработала связка шифратора с эксплойтом EternalBlue для критической уязвимости Microsoft Windows, а также человеческий фактор. Обновление безопасности от Microsoft, закрывающее данную уязвимость, вышло еще в марте, за два месяца до эпидемии. Но на 12 мая его установили далеко не все организации — погорели как госучреждения, так и коммерческие компании, даже игроки технологических рынков».

Эпидемия Petya началась с компрометации сервера обновлений бухгалтерской программы M.E.Doc, распространенной в украинских компаниях. Угроза проникала в сети через зараженное обновление, далее распространялась внутри с помощью того же EternalBlue и некоторых других инструментов. История с Bad Rabbit началась со взлома популярных сайтов, далее для заражения рабочих станций использовались элементы социальной инженерии — пользователям предлагалось установить обновление FlashPlayer.

«В начале прошлого года решения „Лаборатории Касперского“ блокировали атаки шифровальщиков на компании в среднем раз в две минуты, а на индивидуальных пользователей — каждые 20 секунд. К осени 2017 года эти показатели значительно увеличились: бизнес сталкивался с программами-вымогателями приблизительно раз в 40 секунд, а отдельные пользователи — раз в 10 секунд»,— отмечает руководитель российского исследовательского центра «Лаборатории Касперского» Юрий Наместников.

Быстрый и легкий заработок

На сегодня с учетом важности обрабатываемой информации в автоматизированных системах суммарный ущерб от кибератак вирусов-шифровальщиков составляет не менее 100 млн руб. в одном только Новосибирске, считает Дмитрий Кандыбович. «Нельзя собрать конкретную статистику о поражении вирусом-шифровальщиком из-за скрытности коммерческих предприятий и желания сохранить репутацию надежного парт­нера,— говорит господин Кандыбович. — Но, судя по обширности обсуждений (практически ни одна презентация по информационной безопасности сейчас не обходится без упоминания криптолокеров), проблема мало кого обошла стороной. Потерь избежали преимущественно крепкие бизнес-структуры, где уже есть понимание цены потери бизнес-данных, налажен адекватный, многоуровненый процесс обеспечения защиты, используются современные продукты и решения. Тем не менее в Новосибирске нам были доступны данные о поражении не менее 1 тыс. компьютеров, что является глобальной катастрофой информационной безопасности».

По данным экспертов, одна лишь эпидемия WannaCry охватила 150 стран и 500 тыс. рабочих станций. Суммарный ущерб от нее оценивается в $1 млрд. В России от этого шифровальщика пострадали, например, МВД России и компания «Мегафон». Причем, по данным системы телемет­рии ESET, на пике эпидемии большинство отраженных атак зафиксировано в России (45,07% срабатываний защитных решений), на Украине (11,88%) и Тайване (11,55%). Помимо России в конце июня от вируса Petya пострадали пользователи из Германии, Польши, Сербии, Греции и ряда других европейских стран, а также Азии и Америки. Одной из крупных российских жертв этого компьютерного вируса стала компания «Инвитро».

«Постоянные атаки шифровальщиков говорят о том, что эти зло­вреды стали средством быстрого и легкого заработка. И мы видим, что внимание злоумышленников за последние годы сместилось от обычных пользователей к организациям, и шифровальщики не являются исключением. Среди стран, подвергшихся атакам троянцев-шифровальщиков, на первом месте во втором квартале 2017 года стоят Бразилия, Италия и Япония. У России десятая позиция»,— комментирует Юрий Наместников.

По данным Юрия Наместникова, обычно шифровальщики требуют с владельца компьютера $300. «Если таких компьютеров у организации тысяча или десять тысяч, то речь идет об очень серьезных суммах. Платят не все, конечно. Поэтому сумму ущерба точно посчитать невозможно. Ведь речь идет и об убытках, которые понесли компании от остановки производств и потери данных»,— констатирует он. Впрочем плата вымогателю не гарантирует организациям восстановление потерянной информации, указывают эксперты.

«Шифровальщики показательны сравнительно низким уровнем компетенции создателей и примитивностью механизмов заражения, а возникшая эпидемия свидетельствует о низкой культуре безопасности в целом, недооценки важности вопроса у руководителей и специа­листов,— отмечает Дмитрий Кандыбович. — Подавляющее большинство заражений — это когда пользователи сами запустили в компьютер вирус. Сейчас компании реагируют на угрозы, как правило, уже по факту происшедшего. И тут стоит задаться вопросом: будут ли еще атаки и какой ущерб будет нанесен? Ведь предотвратить и пережить такие атаки помогут базовые, элементарные меры: антивирусы, квалифицированная настройка ПО, повышение уровня грамотности пользователей, создание резервных копий».

Виталий Земских считает, что в результате масштабных атак вредоносных программ многие корпоративные пользователи смогли извлечь уроки из собственных ошибок в организации информационной безопасности. «Во-первых, они оценили потенциал современных кибератак, больше не воспринимают их как некую абстрактную угрозу и усиливают защиту. Во-вторых, некоторые организации провели чистку кадров с последующим наймом квалифицированных специалистов,— говорит он. — Как результат, замечаем, что компании интересуются новыми решениями для безопасности, консалтинговыми и сервисными услугами в области киберзащиты, телеметрическими сервисами».

Атаки повторятся

То, что атаки вредоносных программ-вымогателей еще не раз повторятся, у участников рынка не вызывает сомнений. Атаки вредоносных программ-шифровальщиков — это явление непрерывное и постоянно развивающееся, мутирующее подобно вирусным инфекциям, количество и сила эпидемий неуклонно растет, отмечает Дмитрий Кандыбович из компании «Атом безопасность». «Повторение атак может произойти в любой момент, так как по сути ничего не изменилось: уровень культуры и подготовки пользователей растут медленно, число уязвимостей, источников угроз увеличивается, а само производство зловредных программ автоматизировано,— говорит он. — Поэтому в ближайшее время мы будем снова обсуждать очередную волну взломов и заражений. Судя по успешному урожаю атак 2017-го, стоит прог­нозировать дальнейшее развитие киберпреступности и рост активности хакеров и на 2018 год».

«К сожалению, программы-вымогатели — прибыльный киберпреступный бизнес, поэтому подобные атаки будут повторяться в ближайшие годы»,— согласен Юрий Наместников из «Лаборатории Касперского».

Антон Вебер

Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...