Специалисты по интернет-безопасности рассказали, как работает новый вирус-шифровальщик, — «троян», представившийся BadRabbit, попадает на компьютер с санкции пользователя и не задействует уязвимости операционной системы. К такому выводу пришли аналитики, в частности, Group-IB и «Лаборатории Касперского».
Ранее коммерческие структуры из пяти стран, а также ряд российских СМИ, оказались парализованы из-за действий нового вируса, который зашифровывал содержимое жесткого диска и требовал выкуп, эквивалентный 16 тыс. руб. Под удар попали информационное агентство «Интерфакс», сетевой еженедельник «Город 812» и интернет-издание «Фонтанка.Ру».
Почему масштабные вирусные атаки становятся повседневным явлением? И как на этом зарабатывают компании по интернет-безопасности?
Руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский пояснил «Коммерсантъ FM», что заражению компьютеров способствовала беспечность пользователей: «Вирус распространялся через ряд взломанных сайтов российских СМИ. На них сначала появлялся баннер об обновлении Adobe Flash Player, а затем, если пользователь на него кликал и соглашался на загрузку, то BadRabbit начинал работать в корпоративной сети. Для его распространения было достаточно одного компьютера с выключенным антивирусом.
В данном случае не используются какие-либо уязвимости или бреши в операционной системе. Пользователи самостоятельно скачивали файл, кликая по баннеру.
Мы не готовы пока подтвердить авторство вируса, но видим, что ряд техник очень схож с теми, что были использованы в программе Petya, однако в коде присутствует достаточно большое количество различий».
Не столько действия отдельных пользователей, сколько беспечность крупных производителей програмных продуктов привела к таким масштабам заражений, считает эксперт в области компьютерной безопасности Максим Эмм: «В программах все время находят ошибки, которые можно использовать, в том числе, и для установки такого рода лазеек. Но авторы таких продуктов не всегда исправляют недочеты с должной скоростью и не всегда заботятся о том, чтобы вообще их не допускать. То есть можно ПО писать так, чтобы ошибок было существенно меньше. Это будет просто дороже стоить, и поэтому компании не сильно на эту тему сейчас беспокоятся. Когда находят уязвимости, они, конечно, через какое-то время их устраняют, но до этого может пройти несколько месяцев, и за это время достаточно большое компьютеров могут быть заражены. В первую очередь под удар попадают корпорации, потому что в них установлено однотипных машин с однотипным ПО больше, чем у обычных пользователей».
Некоторые эксперты отмечали, что BadRabbit имитирует продукцию американского производителя антивирусного ПО — компании Symantec, поэтому его сложно было остановить. Однако в «Лаборатории Касперского» эту информацию не подтвердили. Group-IB сообщила также, что кибератаке подверглись и несколько российских банков, в том числе из первой двадцатки. Однако кредитные организации оказались хорошо защищены и не испытали никаких проблем.
Каждый всплеск хакерской активности приводит к росту продаж средств интернет-защиты, отметил управляющий партнер венчурного фонда LETA Capital Александр Чачава, но при этом обвинять производителей антивирусов в искусственном нагнетании интереса к своей продукции не стоит: «Антивирусные компании часто обвиняются в том, что они сами пишут вредоносные программы. Конечно, чем больше угроз, тем лучше финансовые показатели создателей антивирусов. Однако это вовсе не свидетельствует об их отношении к кибератакам. Насколько я знаю, второй квартал у большинства антивирусных компаний был неплох и явно лучшего аналогичного периода в 2016-м. При этом рынок в достаточной степени стагнирует».
Ранее в этом году 150 стран подверглись атакам вируса-вымогателя WannaCry. Позднее вредоносная программа Petya заблокировала компьютеры в 60 государствах, в том числе на Украине и в России. Среди пострадавших оказались «Роснефть» и «Башнефть».