В России, несмотря на массовое распространение вируса, критически важная информация почти не пострадала — в силу привычки, видимо, хранить все важное в папках с завязочками и «живой» печатью...
В фильме «Плакса» (Cry Baby) 1990 года юный Джонни Депп обладает талантом пустить скупую мужскую слезу, одну-единственную, чтобы мгновенно и с гарантией разбить любое девичье сердце.
Спустя почти 30 лет по миру пронесся вирус WannaCry, призванный заставить рыдать не одного владельца ПК. Эту тему обсудили эксперты в Санкт-Петербурге в ходе конференции Fortinet Security Day, организованной вендором и компанией «Марвел-Дистрибуция».
Специалисты отметили, что, несмотря на массовую эпидемию, многие заказчики Fortinet смогли успешно противостоять вирусу. Больше всего повезло самым внимательным и осторожным — предупреждение из центра US-CERT (US Computer Emergency Readiness Team) о возможности массовых атак вирусов-вымогателей появилось еще год назад.
Предупреждение возникло неслучайно. Сведения об уязвимости в ОС Windows, которой пользовались американские спецслужбы, были похищены хакерами. Когда утечка произошла, специалистам стало ясно, что риски есть, и они серьезны: на стене появилось то самое ружье, которое должно было обязательно выстрелить в конце спектакля. И оно выстрелило, буквально взорвавшись бомбой мирового масштаба: пострадали ПК в более чем 150 странах, зараженными оказались сотни тысяч систем. Больше всего пострадали Россия, Украина, Индия и Тайвань. К слову, государственные предприятия Казахстана, которые использовали решения Fortinet, атаки практически не почувствовали.
На экране у пострадавших появлялось сообщение, что все данные зашифрованы. Для расшифровки предлагалось отправить некую сумму в биткоинах (соответствующую $300). Если в течение трех дней сумма не поступала, она увеличивалась вдвое. Через неделю все зараженные файлы терялись безвозвратно.
В России, несмотря на массовое распространение вируса, критически важная информация почти не пострадала — в силу привычки, видимо, хранить все важное в папках с завязочками и «живой» печатью.
В целом злоумышленники по итогу атаки получили сравнительно небольшие деньги: чуть более $100 тыс. Многие пострадавшие думали: платить — не платить. Большинство предпочло не платить, в противном случае был риск остаться и без данных, и без денег. Для шифрования каждого файла использовался собственный ключ, который впоследствии удалялся на пострадавшем ПК и высылался злоумышленникам. Механизм дешифрации предусматривался, но, по данным специалистов, был реализован с ошибкой и не работал. Позиция Fortinet заключается в том, что, как и в случае с терроризмом, вымогателям нельзя платить, ибо это стимулирует повторные атаки.
После начала эпидемии были выпущены рекомендации: закрыть для использования протокол SMB и переустановить ОС Windows. Евгений Царев
Ведущий панельной дискуссии, независимый эксперт по информационной безопасности Евгений Царев высказал свое мнение, что 300 тыс. зараженных ПК — это немного. Но так как заражение случилось за короткий период времени, то ситуация наделала много шуму. Вирус был написан с недостаточно высоким уровнем профессионализма — он сразу «убивал» свою жертву, при этом с медийным эффектом. «Хороший» вирус работает незаметно и вымогает тихо, зато долго и успешно. По мнению собравшихся экспертов, по уровню ущерба любой троян легко заткнет WannaCry за пояс.
Распространение WannaCry началось через два месяца после того, как компания Microsoft выпустила соответствующий патч, закрывающий уязвимость. Таким образом, пострадали те, кто не установил обновление. Но в каждом ли случае речь идет о лени и халатности? Вовсе необязательно. Ибо если ПК на ОС Windows работает, скажем, в составе АСУ ТП, то иногда производственный процесс просто невозможно или слишком затратно остановить на время обновления — например, если речь идет о центрифуге или котле. В крупных компаниях зачастую бывает внутреннее требование не проводить обновления, ибо они платные («работает, и хорошо»). Все зависит от бюджета, часто причина не в ИБ-специалистах, а в политике и финансовых возможностях компании. А бывает как в Великобритании, где УЗИ-аппараты работают на старых версиях ОС Windows, так как производитель медицинского оборудования просто не создал систем под новые версии.
Очень важно, чтобы в организации был человек, который бы проактивно следил за рисками, читал предупреждения, был в курсе последних событий на рынке ИБ. Ибо даже когда WannaCry начал распространяться по миру, многие находились в неведении вплоть до последнего момента.
К слову, Евгений Царев рассказал, что в России в настоящее время идет расследование уголовного дела о хищении с помощью кибератаки суммы в $2 млн, что в 20 раз больше, чем заработали разработчики вируса WannaCry. Он с сожалением сообщил, что клиенты дистанционного банкинга защищены в России слабо и похищать средства, таким образом, достаточно просто.
Есть и другие примеры того, как злоумышленники зарабатывают большие средства. Так, известно о системе, которая имитирует просмотры роликов YouTube в Интернете. Перед каждым роликом идет реклама, и владельцу ролика от нее поступает некоторая небольшая сумма. Злоумышленники создали решение, которое показывает видео ботам, причем в огромном количестве: боты «смотрят» ролики по 300 млн раз в сутки. Это приносит создателям системы от $2,5 млн до $5 млн в день.
Другая группа создала решение, позволяющее зарабатывать биткоины за счет зараженных машин. Там также речь шла о миллионах долларов в день, работали они очень скрытно и долго.
Важно, что ИБ-защита компаний снижает риски и для каждого конкретного сотрудника. Известна история, когда человек провел несколько месяцев под арестом, потому что киберпреступники похищали деньги, пользуясь IP-адресом его рабочей станции. Судья же утверждала в своем решении, что «раз у этого сотрудника есть высшее техническое образование, то и он мог совершить преступление». Таким образом, ИБ-защита компании — это и защита каких-то абстрактных систем, но вполне реальных и конкретных людей.
