Жестокая реальность глобальной атаки вредоноса-вымогателя WannaCry, поразившего компьютерные системы в 150 странах, такова: злоумышленники воспользовались массовой неподготовленностью пользователей.
В производственных и автомобилестроительных предприятиях, в больницах и госструктурах заражение произошло из-за применения старых версий Windows и игнорирования заплат, выпущенных Microsoft еще в марте для новых версий ОС.
Часто инфицирование происходило из-за того, что пользователи переходили по ссылкам из сообщений электронной почты или запускали приложенный исполняемый файл вредоноса, сжатый в формате ZIP.
Вирус-вымогатель, известный также под названиями WannaCrypt и WannaCrypto, после первичного проникновения распространился по внутрикорпоративным сетям организаций с беспрецедентной скоростью. По оценкам, всего за пару дней он заразил сотни тысяч компьютеров.
.jpg) |
| WannaCry убедительно продемонстрировал, что многие по-прежнему недостаточно подготовлены к широкомасштабным атакам подобного рода |
Вскоре после начала эпидемии автор блога MalwareTech обнаружил «аварийный выключатель», с помощью которого можно предотвратить порчу данных вирусом: выяснилось, что тот проверял доступность некоего домена и при положительном результате не выполнял вредоносных действий. Исследователь зарегистрировал этот домен, что позволило замедлить распространение.
Компьютеры, зараженные WannaCry, выводятся им из строя до уплаты выкупа в размере от 300 до 600 долл. США в биткоинах, обеспечивающих анонимное получение платежей.
Глобальная кибератака с использованием вируса вымогателя WannaCry началась 12 мая. Вирус заразил сотни тысяч компьютеров по всему миру. Под атаку хакеров также попали компьютеры госучреждений. В России об отражении кибератаки заявили в РЖД, Минздраве, Сбербанке, МВД и МЧС.
Вирус вначале поразил сети в ряде стран Европы, после чего передался в другие регионы, заразив в том числе банкоматы в Китае и системы российского МВД. В США в числе прочих пострадала курьерская служба FedEx.
Атакующие воспользовались инструментами, предположительно разработанными в АНБ, о похищении которых объявила хакерская группа, называющая себя Shadow Brokers. По мнению части аналитиков, организаторами атаки WannaCry, скорее всего, является криминальная группировка, действующая сугубо из соображений незаконного обогащения.
Эпидемия WannaCry выглядит как следствие неправдоподобного сочетания «шпионской истории» с тотальной халатностью пользователей и ИТ-специалистов множества, казалось бы, очень серьезных организаций.
«'11 сентября 2001-го' в киберпространстве еще не произошло, но WannaCry дал понять, как это может быть», — комментирует Мелих Абдулхайоглу, глава Comodo.
Ситуация с WannaCry выглядит особенно пугающей ввиду сознания вероятности ее повторения. «Есть все основания ожидать новых атак, составленных по аналогичному рецепту, — уверена аналитик Gartner Авива Литан. — Произошедшее в очередной раз громко напомнило о необходимости своевременной установки заплат и наличия многоуровневой системы мер безопасности, применяемых в корпоративных сетях и на оконечных точках».
Джон Халамка, ИТ-директор медицинского центра Beth Israel Deaconess, подчеркивает необходимость многослойной защиты: «Речь идет о сочетании политик, технологий и обучения».
Что касается политик, они могут быть самыми «экстремальными» — вплоть до полного запрета производить запись данных на всех рабочих станциях в организации, чтобы при открытии вредоносного исполняемого файла он не имел возможности совершить никаких действий. В числе защитных технологий можно пользоваться системами фильтрации веб-контента, настроенными так, чтобы никакие ссылки и вложения не могли попасть в сообщения электронной почты в обход фильтров. А в рамках учебных программ можно устраивать в организациях тренировочные фишинговые кампании, проверяя, будут ли пользователи открывать нежданные вложенные файлы.
Подобные тренировки проходят во многих организациях с целью приучить пользователей не переходить по ссылкам и не открывать вложения, не оценив предварительно возможные последствия.
По мнению Халамки, ИТ-руководителей больниц трудно винить в том, что они не переходят на самые новые версии Windows и не устанавливают обновления: «Установка каждой очередной заплаты на критически важные системы чревата проблемами с надежностью и функциональностью. Некоторые приложения были созданы много лет назад и на современные платформы не переносились. Сегодня по-прежнему существуют коммерческие продукты, требующие Windows XP, заплаты для которой не выпускаются».
В медицинских организациях работоспособности приложений могут отдавать предпочтение перед безопасностью, поэтому на них не всегда стоят самые свежие заплаты.
Джек Голд, аналитик J. Gold Associates, предположил, что создатели WannaCry в первую очередь ориентировались именно на Windows XP, которая все еще широко применяется во многих организациях, особенно медицинских: «Пользуясь XP, системой, отстающей от свежей версии Windows на три поколения, вы берете на себя большой риск».
Надо отметить, что эпидемия WannaCry заставила Microsoft пойти на беспрецедентный шаг и экстренно выпустить заплату для давно не поддерживаемой Windows XP.
WannaCry также заразил сети заводов Renault и Nissan. Что касается самих автомобилей, а также других систем Интернета вещей, не всегда находящихся под контролем людей, то установка заплат, возможно, не лучший метод их защиты, полагает Тал Бен-Давид, вице-президент компании Karamba Security. «Полагаясь на установку заплат, вы можете поставить под угрозу жизни людей, — заметил он. — Единственный вариант для автомобилей и других систем Интернета вещей, влияющих на безопасность человека, — установить надежные фабричные настройки без возможности изменения».
Спор о том, стоит ли поступать таким образом, можно вести бесконечно, ведь обратная сторона такой защиты — отсутствие возможности обновления ПО устройств. На сегодня же лучший выход — устанавливать самые свежие заплаты для операционных систем и приложений.
Специалисты также напоминают о необходимости регулярного резервного копирования данных, чтобы зараженные компьютеры можно было отключать, заменяя их на запасные со свежими копиями информации.
После первой волны атак WannaCry команда экстренной компьютерной помощи US-CERT обновила рекомендации по поводу вирусов-вымогателей, указав на необходимость особой осмотрительности при переходе по ссылкам из сообщений электронной почты, даже когда отправитель вам известен.
WannaCry убедительно продемонстрировал, что многие организации недостаточно подготовлены к широкомасштабным атакам подобного рода. Вирусы-вымогатели существуют уже десятки лет, но сегодня они могут распространяться в глобальном масштабе с исключительной скоростью.
«В организациях обязаны разработать способы классификации, разграничения и защиты данных для снижения риска несанкционированного доступа к ним и их утраты, — подчеркивает Дон Фостер, директор по маркетингу решений Commvault. — Обсуждение стратегии восстановления данных необходимо вести на уровне высшего руководства».
Литан подчеркивает: «Универсальных систем защиты от вымогателей ни у кого нет. При этом вредоносные программы такого рода отвечают за половину всего ущерба, понесенного нашими клиентами за последние полтора года».