Контакты
Подписка
МЕНЮ
Контакты
Подписка

Чему учит WannaCry

Чему учит WannaCry

Чему учит WannaCry


22.05.2017



Жестокая реальность глобальной атаки вредоноса-вымогателя WannaCry, поразившего компьютерные системы в 150 странах, такова: злоумышленники воспользовались массовой неподготовленностью пользователей.

 Глобальная кибератака с использованием вируса-вымогателя WannaCry началась 12 мая. Вирус заразил сотни тысяч компьютеров по всему миру. Во многих организациях, в том числе на производственных и автомобилестроительных предприятиях, в больницах и госструктурах заражение произошло из-за применения старых версий Windows и игнорирования заплат, выпущенных Microsoft еще в марте для новых версий ОС.

 В части случаев инфекция была вызвана тем, что пользователи переходили по ссылкам из сообщений электронной почты или запускали приложенный исполняемый файл вредоноса, сжатый в формате ZIP.

 Вирус-вымогатель, известный также под названиями WannaCrypt и WannaCrypto, после первичного проникновения, пользуясь дополнительными каналами заражения, распространяется по сетям организаций с беспрецедентной скоростью. По оценкам британских властей, всего за пару дней он заразил больше 200 тыс. компьютеров в 150 с лишним странах.

 Вскоре после начала эпидемии автор блога MalwareTech обнаружил "аварийный выключатель", с помощью которого можно предотвратить порчу данных вирусом: выяснилось, что тот проверял доступность некоего домена и при положительном результате не выполнял вредоносных действий. Исследователь зарегистрировал этот домен, что позволило замедлить распространение. Были опасения, что сразу же появится новая версия вредоноса, без "аварийного выключателя", но это произошло с опозданием, поэтому резкого роста масштабов эпидемии не было.

 Компьютеры, зараженные WannaCry, выводятся им из строя до уплаты выкупа в размере от 300 до 600 долл. США в биткойнах. Британские врачи жаловались, что из-за WannaCry пришлось задержать проведение хирургических операций, поскольку пропал доступ к медицинским картам пациентов. Минздрав на протяжении злополучного уикенда многократно рассылал рекомендации ИТ-персоналу больниц, призывая изолировать зараженные компьютеры и устанавливать необходимые заплаты Windows, предварительно отключив ПК от сети и проверив на инфекцию.

 Вирус вначале поразил сети в ряде стран Европы, после чего передался в другие регионы, заразив в том числе банкоматы в Китае и системы российского МВД. В США в числе прочих пострадала курьерская служба FedEx, где, как признали ее руководители, были "инфицированы некоторые Windows-системы". (В России об отражении кибератаки заявили в РЖД, Минздраве, Сбербанке, МВД и МЧС. — Прим. ред.)

 Атакующие воспользовались инструментами, предположительно разработанными в американском Агентстве национальной безопасности, о последующем похищении которых объявила хакерская группа, называющая себя Shadow Brokers. По мнению части аналитиков, организаторами атаки WannaCry скорее всего является криминальная группировка, действующая сугубо из соображений незаконного обогащения.

"Шпионский роман" с плохим концом

 Эпидемия WannaCry выглядит как следствие неправдоподобного сочетания "шпионской истории" с тотальной халатностью пользователей и ИТ-специалистов множества серьезных организаций.

 "Это было идеальным для атакующих стечением обстоятельств, — полагает аналитик Gartner Авива Литан. — Вирус-вымогатель быстро распространился с помощью уязвимости Windows, обнаруженной АНБ, требуя выкуп в биткойнах, обеспечивающих злоумышленникам возможность анонимного получения платежей".

 "Свое -11 сентября 2001-го- в киберпространстве еще не произошло, но WannaCry дал понять, как это может быть", — комментирует Мелих Абдулхайоглу, основатель и глава Comodo.

 Ситуация с WannaCry выглядит особенно пугающей ввиду сознания вероятности ее повторения. "Есть все основания ожидать новых атак, составленных по аналогичному рецепту, — уверена Литан. — Данная ситуация в очередной раз громко напомнила о необходимости своевременной установки заплат и наличия многоуровневой системы мер безопасности, применяемых в корпоративных сетях и на оконечных точках".

Как подготовиться к новым атакам

 Джон Халамка, ИТ-директор медицинского центра Beth Israel Deaconess, подчеркивает, что организациям необходима многослойная защита для снижения риска пострадать от подобных атак: "Речь идет о сочетании политик, технологий и обучения".

 Что касается политик, они могут быть самыми "экстремальными" — вплоть до полного запрета производить запись данных на всех рабочих станциях в организации, чтобы при открытии вредоносного исполняемого файла он не имел возможности совершить никакие действия. В числе защитных технологий можно пользоваться системами фильтрации веб-контента, настроенными так, чтобы никакие ссылки и вложения не могли попасть в сообщения электронной почты в обход фильтров. А в рамках учебных программ можно устраивать в организациях тренировочные фишинговые кампании, проверяя, будут ли пользователи открывать нежданные вложенные файлы.

 Подобные тренировки проходят во многих организациях с целью приучить пользователей не переходить по ссылкам и не открывать вложения, не оценив предварительно возможные последствия.

 По мнению Халамки, ИТ-руководителей больниц трудно винить в том, что они не переходят на самые новые версии Windows и не устанавливают обновления: "Установка каждой новой заплаты на критически важные системы чревата проблемами с надежностью и функциональностью. Некоторые медицинские приложения были созданы много лет назад и на современные платформы не переносились. Сегодня по-прежнему существуют коммерческие продукты, требующие Windows XP, заплаты для которой не выпускаются".

 В медицинских организациях работоспособности приложений могут отдавать предпочтение перед безопасностью, поэтому на них не всегда стоят самые свежие заплаты.

 "Система здравоохранения в целом, по-видимому, более уязвима для кибератак, чем другие отрасли, что иллюстрируется масштабами инцидента в британском минздраве", — продолжил Халамка.

 Джек Голд, аналитик J. Gold Associates, предположил, что создатели WannaCry в первую очередь ориентировались именно на Windows XP, которая все еще широко применяется во многих организациях, особенно медицинских: "Пользуясь XP, системой, отстающей от свежей версии Windows на три поколения, вы берете на себя большой риск, ежедневно ставя на карту безопасность вашей сети".

 Эпидемия WannaCry заставила Microsoft пойти на беспрецедентный шаг и экстренно выпустить заплату для давно не поддерживаемой Windows XP.

 WannaCry также заразил сети заводов Renault и Nissan. Что касается самих автомобилей, а также других систем Интернета вещей, не всегда находящихся под контролем людей, то установка заплат — возможно, не самый лучший метод их защиты, полагает Тал Бен-Давид, вице-президент компании Karamba Security, которая предлагает ПО безопасности для соединенных с сетями и самоуправляемых автомобилей. "Полагаясь на установку заплат, вы можете поставить под угрозу жизни людей, — заметил он. — Единственный вариант для автомобилей и других систем Интернета вещей, влияющих на безопасность человека, — это установить надежные фабричные настройки без возможности изменения".

Спор о том, стоит ли поступать таким образом, можно вести бесконечно, ведь обратная сторона такой защиты — отсутствие возможности обновления ПО устройств. На сегодня же для организаций лучший выход — устанавливать самые свежие заплаты для операционных систем и приложений.

 Специалисты также напоминают о необходимости частого резервного копирования данных, чтобы зараженные компьютеры можно было отключать, заменяя их на запасные со свежими копиями информации.

 После первой волны атак WannaCry команда экстренной компьютерной помощи США US-CERT обновила рекомендации по поводу вирусов-вымогателей, указав на необходимость особой осмотрительности при переходе по ссылкам из сообщений электронной почты, даже когда отправитель вам известен. В CERT также предостерегают от раскрытия в сообщениях электронной почты личной и финансовой информации, которая в дальнейшем может быть использована для проведения атак направленного фишинга.

 WannaCry убедительно продемонстрировал, что многие организации недостаточно подготовлены к широкомасштабным атакам подобного рода. Вирусы-вымогатели существуют уже десятки лет, но сегодня они могут распространяться по всему миру очень быстро.

 "WannaCry в очередной раз напомнил, что в организациях обязаны разработать способы классификации, разграничения и защиты данных для снижения риска несанкционированного доступа к ним и их утраты, — подчеркивает Дон Фостер, директор по маркетингу решений Commvault. — Обсуждение стратегии восстановления данных необходимо вести на уровне высшего руководства".

 По словам Литан, ИТ-специалисты сами должны заботиться о защите от вирусов-вымогателей с помощью простейших мер наподобие резервного копирования, а не рассчитывать на поставщиков средств безопасности: "Универсальных систем защиты от вымогателей ни у кого нет. При этом вредоносные программы такого рода отвечают за половину всего ущерба, понесенного нашими клиентами за последние полтора года".

Сomputerworld