Сибирский бизнес и госструктуры в этом году столкнулись сразу с несколькими мощными атаками вредоносных программ-шифровальщиков, которые вывели из строя сотни тысяч компьютеров по всему миру. Одной из последних атак стало заражение в конце октября компьютеров вирусом Bad Rabbit. Суммарные убытки только новосибирских организаций от шифровальщиков превысили 100 млн руб. Эксперты прогнозируют развитие киберпреступности и рост активности хакеров.
Фото: Олег Харсеев, Коммерсантъ / купить фото
Очень плохой Rabbit
«На 2017 год мы прогнозировали рост числа целевых атак на корпоративный сектор, прежде всего, на финансовые организации (более чем на 50%, по нашим предварительным оценкам). В настоящее время прогнозы сбываются в сочетании с увеличением ущерба пострадавших компаний»,— говорит руководитель поддержки продаж ESET Russia Виталий Земских.
Атаки вредоносных программ-шифровальщиков 2017 года можно сравнить с масштабным заражением вирусом Trojan.Encoder.225 в 2013 году, считает генеральный директор ООО «Атом безопасность» Дмитрий Кандыбович. «По сути, не важно, что сделает проползший в компьютер вредоносный код, тут важно понимание, что типовая современная ИТ-инфраструктура, построенная на продуктах известных фирм, дырявая, как решето. Сегодня шифровальщик, завтра еще что-то заползет, террористы какие-нибудь или спецслужбы. А в IT сидят взрослые люди и осваивают взрослые средства»,— подчеркивает он.
С начала года мир атаковали как минимум три сменяющих друг друга вируса-шифровальщика — WannaCry, Petya/NotPetya и Bad Rabbit. Эпидемии подверглись многие российские компании и государственные учреждения. Попадая по сети в компьютер, вредоносные программы шифруют хранящиеся файлы и требуют денежный выкуп за их расшифровку. «Проблема резонансных атак 2017 года — их высокая эффективность и скорость распространения,— рассказывает Виталий Земских. — Атакующие отошли от классических схем (социальной инженерии, прежде всего) и успешно протестировали новые векторы заражения. В случае с WannaCry сработала связка шифратора с эксплойтом EternalBlue для критической уязвимости Microsoft Windows, а также человеческий фактор. Обновление безопасности от Microsoft, закрывающее данную уязвимость, вышло еще в марте, за два месяца до эпидемии. Но на 12 мая его установили далеко не все организации — погорели как госучреждения, так и коммерческие компании, даже игроки технологических рынков».
Эпидемия Petya началась с компрометации сервера обновлений бухгалтерской программы M.E.Doc, распространенной в украинских компаниях. Угроза проникала в сети через зараженное обновление, далее распространялась внутри с помощью того же EternalBlue и некоторых других инструментов. История с Bad Rabbit началась со взлома популярных сайтов, далее для заражения рабочих станций использовались элементы социальной инженерии — пользователям предлагалось установить обновление FlashPlayer.
«В начале прошлого года решения „Лаборатории Касперского“ блокировали атаки шифровальщиков на компании в среднем раз в две минуты, а на индивидуальных пользователей — каждые 20 секунд. К осени 2017 года эти показатели значительно увеличились: бизнес сталкивался с программами-вымогателями приблизительно раз в 40 секунд, а отдельные пользователи — раз в 10 секунд»,— отмечает руководитель российского исследовательского центра «Лаборатории Касперского» Юрий Наместников.
Быстрый и легкий заработок
На сегодня с учетом важности обрабатываемой информации в автоматизированных системах суммарный ущерб от кибератак вирусов-шифровальщиков составляет не менее 100 млн руб. в одном только Новосибирске, считает Дмитрий Кандыбович. «Нельзя собрать конкретную статистику о поражении вирусом-шифровальщиком из-за скрытности коммерческих предприятий и желания сохранить репутацию надежного партнера,— говорит господин Кандыбович. — Но, судя по обширности обсуждений (практически ни одна презентация по информационной безопасности сейчас не обходится без упоминания криптолокеров), проблема мало кого обошла стороной. Потерь избежали преимущественно крепкие бизнес-структуры, где уже есть понимание цены потери бизнес-данных, налажен адекватный, многоуровненый процесс обеспечения защиты, используются современные продукты и решения. Тем не менее в Новосибирске нам были доступны данные о поражении не менее 1 тыс. компьютеров, что является глобальной катастрофой информационной безопасности».
По данным экспертов, одна лишь эпидемия WannaCry охватила 150 стран и 500 тыс. рабочих станций. Суммарный ущерб от нее оценивается в $1 млрд. В России от этого шифровальщика пострадали, например, МВД России и компания «Мегафон». Причем, по данным системы телеметрии ESET, на пике эпидемии большинство отраженных атак зафиксировано в России (45,07% срабатываний защитных решений), на Украине (11,88%) и Тайване (11,55%). Помимо России в конце июня от вируса Petya пострадали пользователи из Германии, Польши, Сербии, Греции и ряда других европейских стран, а также Азии и Америки. Одной из крупных российских жертв этого компьютерного вируса стала компания «Инвитро».
«Постоянные атаки шифровальщиков говорят о том, что эти зловреды стали средством быстрого и легкого заработка. И мы видим, что внимание злоумышленников за последние годы сместилось от обычных пользователей к организациям, и шифровальщики не являются исключением. Среди стран, подвергшихся атакам троянцев-шифровальщиков, на первом месте во втором квартале 2017 года стоят Бразилия, Италия и Япония. У России десятая позиция»,— комментирует Юрий Наместников.
По данным Юрия Наместникова, обычно шифровальщики требуют с владельца компьютера $300. «Если таких компьютеров у организации тысяча или десять тысяч, то речь идет об очень серьезных суммах. Платят не все, конечно. Поэтому сумму ущерба точно посчитать невозможно. Ведь речь идет и об убытках, которые понесли компании от остановки производств и потери данных»,— констатирует он. Впрочем плата вымогателю не гарантирует организациям восстановление потерянной информации, указывают эксперты.
«Шифровальщики показательны сравнительно низким уровнем компетенции создателей и примитивностью механизмов заражения, а возникшая эпидемия свидетельствует о низкой культуре безопасности в целом, недооценки важности вопроса у руководителей и специалистов,— отмечает Дмитрий Кандыбович. — Подавляющее большинство заражений — это когда пользователи сами запустили в компьютер вирус. Сейчас компании реагируют на угрозы, как правило, уже по факту происшедшего. И тут стоит задаться вопросом: будут ли еще атаки и какой ущерб будет нанесен? Ведь предотвратить и пережить такие атаки помогут базовые, элементарные меры: антивирусы, квалифицированная настройка ПО, повышение уровня грамотности пользователей, создание резервных копий».
Виталий Земских считает, что в результате масштабных атак вредоносных программ многие корпоративные пользователи смогли извлечь уроки из собственных ошибок в организации информационной безопасности. «Во-первых, они оценили потенциал современных кибератак, больше не воспринимают их как некую абстрактную угрозу и усиливают защиту. Во-вторых, некоторые организации провели чистку кадров с последующим наймом квалифицированных специалистов,— говорит он. — Как результат, замечаем, что компании интересуются новыми решениями для безопасности, консалтинговыми и сервисными услугами в области киберзащиты, телеметрическими сервисами».
Атаки повторятся
То, что атаки вредоносных программ-вымогателей еще не раз повторятся, у участников рынка не вызывает сомнений. Атаки вредоносных программ-шифровальщиков — это явление непрерывное и постоянно развивающееся, мутирующее подобно вирусным инфекциям, количество и сила эпидемий неуклонно растет, отмечает Дмитрий Кандыбович из компании «Атом безопасность». «Повторение атак может произойти в любой момент, так как по сути ничего не изменилось: уровень культуры и подготовки пользователей растут медленно, число уязвимостей, источников угроз увеличивается, а само производство зловредных программ автоматизировано,— говорит он. — Поэтому в ближайшее время мы будем снова обсуждать очередную волну взломов и заражений. Судя по успешному урожаю атак 2017-го, стоит прогнозировать дальнейшее развитие киберпреступности и рост активности хакеров и на 2018 год».
«К сожалению, программы-вымогатели — прибыльный киберпреступный бизнес, поэтому подобные атаки будут повторяться в ближайшие годы»,— согласен Юрий Наместников из «Лаборатории Касперского».