Уроки последних вирусных IT-эпидемий Wanna Cry и Petya.

Недавно мир подвергся атаке  вирусов Wanna Cry и Petya.  Чем интересны эпидемии шифровальщиков, что ждать дальше? Об этом разговор с Вячеславом Медведевым, ведущим аналитиком отдела развития компании «Доктор Веб», членом экспертно-консультационного совета РСИ «Первый национальный».

– 12 мая 2017г. без объявления войны  вирус-вымогатель напал на киберпространство почти 150 стран мира. Как это было?

– Сначала это был червь-шифровальщик Wanna Cry, использовавший пробел в программном обеспечении компании Microsoft. Атаки направлялись на крупные компании и организации, игнорировавшие простейшие правила безопасности. Червь внедрял шифровальщика, запускал шифрование данных на компьютере, за расшифровку требовался выкуп. Также при этой эпидемии Wanna Cry пострадали и домашние пользователи. Но что самое интересное, что  в дальнейшем (а также в ходе эпидемии Petya-2) малый и средний бизнес, практически, не был затронут. Вирус Petya-2 при своей атаке просто уничтожал информацию, он вторгся в киберпространство на Украине через бухгалтерскую программу 27 июня 2017г.

– Почему привлечено столько внимания к Wanna Cry?

–  Обычно злоумышленники атакуют малый и средний бизнес и домашних пользователей. Смысла атаковать «крупняк» широконаправленной атакой нет, т.к.  невелика вероятность попасть на критически важные данные, да и вряд ли крупная организация выплатит выкуп. Это для нее будет сравнимо с потерей репутации.  

Второе, сумма выкупа в 300 дол.США явно не соответствует оборотам атакуемых компаний и выглядит издевательством на фоне того, что крупнейшие компании в ответ на атаку попытаются найти виновника и спросить с него. Кстати, по имеющимся данным, суммы выкупов, поступившие на счета злоумышленников так до сих пор и не востребованы

Третье – оба трояна явно не выглядят совершенством. Атака их останавливалась простейшими действиями. А текущая атака вообще уникальна – код трояна не подразумевает расшифровки зашифрованных файлов. Такое впечатление, что автор или авторы бросили этот кусок на середине. Тестовые атаки в наше время популярности не имеют, злоумышленники хотят зарабатывать. А здесь единственное, что они добились, так это внимание СМИ.

– Может это был отвлекающий маневр?

– Для примера приведем атаку XData в мае. Она тоже проводилась исключительно по Украине. Но это был полноценный троян, атаковавший «традиционно» малый и средний бизнес и домашних пользователей. Очень широкомаштабная атака, огромное число заражений –  в 4 раза больше, чем у Wanna Cry и никаких упоминаний в СМИ и отсутствие внимания СБУ.

– Зачем же нужны атаки «на привлечение внимания»?

–   Атаки явно неполитические и не направлены на конкретные организации или получение прибыли. Возможно, что это тест или отработка технологии атак. Атака Wanna Cry показала, что компании, имеющие даже  значительные средства, не сделали никаких выводов. Система защиты компаний всего мира после атаки Wanna Cry не была значительно усовершенствована и атака Petya (преодолевавшего уже защиту компаний, установивших рекомендованные обновления безопасности) это показала наглядно. И вряд ли, на мой взгляд, ситуация изменится. 

Хуже того, атака Petya-2 привлекла внимание ведущих экспертов всего мира. Они бесплатно проанализировали код шифровальщика и публично рассказали, где те совершили ошибки, которые могли привести к тому, что пользователи могли расшифровать своим данные. С другой стороны, обе эпидемии не привели к появлению приказов регуляторов, детально разбирающих проблемы безопасности и/или обновленных методических документов от регуляторов во всем мире, обязанных обращать внимание на такие вещи. Вышедший приказ ФСТЭК (прим. ред. Федеральная служба по техническому и экспортному контролю), по сути, рекомендует компаниям игнорировать рекомендации, изложенные в документах этого же ведомства. Но при этом эти рекомендации, в соответствии с которыми должны защищаться компании, остались без изменений.   Возникает вопрос – на какую страну будет направлена отработанная до мелочей следующая атака?

– Возможно, что скоро узнаем.

Вопросы задавала Виктория Соцкова

Российское информационное агентство «Национальный альянс»

Еще на эту тему: Индустриальный интернет: новый вызов системе?

Российско-китайский диалог по информационной безопасности.

VIII Международный Форум безопасного интернета-2017. Послесловие.

Цифровая трансформация отечественного бизнеса 2017: тренды и кейсы.

Защита персональных данных: международный и отечественный опыт