Накануне компьютеры в странах Европы, Азии и в США подверглись массированной кибератаке с использованием неизвестного ранее вируса-вымогателя WannaCry. В России хакерской атаке подверглись Сбербанк, РЖД, «Мегафон» и даже компьютеры МВД, причем избежать этой ситуации можно было простым мартовским обновлением Windows. Нова ли схема киберзлоумышленников и может ли данная атака служить угрозой для безопасности страны — об этом «БИЗНЕС Online» рассказал владелец группы Fix Дмитрий Еремеев.
Дмитрий Еремеев
75 ТЫС. ЗАРАЖЕННЫХ КОМПЬЮТЕРОВ В 99 СТРАНАХ
Масштабная хакерская атака вчера поздним вечером стала одной из главных мировых новостей. По последней информации, вирусом WannaCry заражены 75 тыс. компьютеров в 99 странах мира, вредоносная программа передается через электронную почту и шифрует данные на компьютере. WannaCry блокирует устройство и требует выкуп за восстановление его работы — от 300 до $600 в биткоинах (крипотовалюта — прим. ред.). Вирус, в частности, парализовал систему здравоохранения Великобритании, работу нескольких компаний в Испании и т. д.
Но наибольшее количество атак, больше половины, зафиксировано в России. Среди пострадавших — крупнейшие российские банки, РЖД, «Мегафон» и так далее. Наиболее тревожной оказалась информация о том, что были выведены из строя компьютеры министерства внутренних дел РФ. «Департаментом информационных технологий, связи и защиты информации МВД России была зафиксирована вирусная атака на персональные компьютеры ведомства, находящиеся под управлением операционной системы Windows. Благодаря своевременно принятым мерам было блокировано порядка тысячи зараженных компьютеров, что составляет менее 1 процента», — такой комментарий вчера поздно вечером дала представитель ведомства Ирина Волк.
Источники «БИЗНЕС Online» сообщают, что среди пострадавших были и компьютеры МВД по РТ. Впрочем, в республиканском ведомстве эту информацию не комментируют. Между тем сложности в работе были связаны как минимум со сбоями в работе федеральных баз данных. В частности, был затруднен доступ к информации о водителях, лишенных прав, или автомобилях, числящихся в угоне. Косвенно это подтверждает и тот факт, что еще вчера до объявления «эпидемии» WannaCry ГИБДД РТ временно прекратило регистрацию новых автомобилей и прием экзаменов «по техническим причинам». Впрочем, уже сегодня после обеда татарстанское управление ГИБДД справилось с неполадками. «Управление ГИБДД МВД по Республике Татарстан сообщает, что все регистрационные и экзаменационные подразделения работают в штатном режиме», — сообщили в ведомстве.
Разумеется, тут же возникло множество конспирологических версий происходящего о заговоре то ли России, то ли против России, а Эдвард Сноуден уже предположил, что здесь не обошлось без знаменитой АНБ. «Хакерская атака на общероссийскую информационную базу ФИСМ 12 мая в течение 40 - 45 минут оставалась незамеченной в регионах. По предварительным данным, все это время продолжалось скачивание базы данных системы. Хакеры могли получить доступ не только к регистрационным данным граждан и автотранспорта, но и к базе судебных приставов, которая подгружена в ФИСМ. Ранее базы были объединены для блокировки регистрационных действий со спорным движимым имуществом», — сообщил один из известных Telegram-каналов. Но, к примеру, известный интернет-деятель Антон Носик не верит в подобное и объясняет суть проблемы очень просто. «На самом деле пятничная вирусная атака была совершенно прицельно направлена против тех, кто с марта 2017 года не удосужился обновить на своем компьютере операционную систему Windows. Мартовское обновление от Microsoft содержало патч, делающий систему неуязвимой для атак подобного рода... В результате именно эти компьютеры оказались заражены вирусом», — написал Носик у себя в блоге.
«Ключевая проблема в этом вирусе, что здесь не нужно действие пользователя, — рассказал „БИЗНЕС Online“ один из участников IT-рынка Казани. — Достаточно, чтобы компьютер просто был подключен к сети и имел статический белый адрес. Компьютер заражается автоматически. Ни я, ни знакомые не пострадали и как раз это совет, в том числе потому что мы не пользуемся Windows, а сидим на операционной системе Linux. Атака произошла как раз на тех, кто использовал Windows».
«Многие эксперты расценили произошедшие атаки как некий акт подготовки к кибервойне, поскольку атакованы именно стратегические объекты: банки, транспорт, область здравоохранения. Я не склонен драматизировать. Скорее всего, атаку провела профессиональная кибергруппа, цель которой — заработать деньги, — считает Иван Шашуров, эксперт в области информационной безопасности компании «ICL Системные технологии». — На самом деле таких атак с использованием вымогательского ПО проводится очень много. Причем злоумышленниками атакуются именно те компании, чей бизнес тесно завязан с IT, — они платежеспособны. Социальные же учреждения, попавшие под атаку, скорее всего, не являлись прямой целью, поскольку шанс получить с них деньги минимален. В будущем число подобных атак будет только расти. Бизнес-процессы становятся все более зависимыми от IТ-сервисов, именно этим и пользуются злоумышленники в своем стремлении заработать».
Позже стало известно, что распространение вируса-вымогателя WannaCry удалось случайно приостановить, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. По словам специалиста по кибербезопасности, он обнаружил, что вирус обращается к этому домену, и решил зарегистрировать его, чтобы следить за активностью программы. После этого на домен пришли десятки тысяч запросов. Предположительно эту возможность предусмотрели сами авторы вируса, чтобы воспользоваться ей в крайнем случае. «Защититься от подобных атак можно, используя решения класса „песочница“: такие решения устанавливаются в сеть организации для проверки всех файлов, приходящих на почту сотрудникам или скачиваемых ими из интернета», — сообщили ТАСС в компании Group-IB, которая, в частности, расследовала хакерские атаки на Энергобанк. «Также важно проводить с сотрудниками разъяснительные беседы об основах цифровой гигиены — недопустимости устанавливать программы из непроверенных источников, вставлять в компьютер неизвестные флешки и переходить по сомнительным ссылкам, вовремя обновлять ПО и не использовать ОС, которые не поддерживаются производителем», — отметили в компании.
«ПРАКТИКА ЭТА НЕ НОВАЯ»
За экспертным мнением «БИЗНЕС Online» обратился к одному из самых известных казанских IT-предпринимателей, президенту ГК Fix Дмитрию Еремееву.
— Дмитрий, что можете сказать о вирусе WannaCry? Насколько он опасен?
— Практика эта не новая. Мы даже сами у себя сталкивались с подобным вредоносом. Речь идет о том, что злоумышленники посредством шифрования Windows шифруют файлы, а для того чтобы дешифровать, они требуют деньги. Выгода этой атаки очевидна — с каждой старушки по рублю, как говорится. Я не знаю, сколько кошельков биткоинов используется, но косвенно можно выследить, сколько денег это уже принесло.
— То, что пострадали компьютеры МВД и других крупных компаний, говорит о том, что они слабо защищены и компании не уделяют должного внимания информационной безопасности?
— Этот вопрос — вопрос настройки политики безопасности Windows. Если пользователь — админ на своем компьютере, соответственно, там стоит определенная версия Windows, которая не защищена от такого вида проблемы, то в этом случае компьютер уязвим. Если же настройки политики безопасности не позволяли бы это сделать, тогда пользователь просто не смог бы зашифровать все важные данные. Опять же бэкапы (бэкап (от англ. back up) — полная или частичная резервная копия операционной системы, программ, пользовательских документов никто не отменял. Такой архив позволяет восстановить информацию после возникновения технических сбоев, поломок оборудования. Средствами бэкапа также можно автоматизировать процесс переноса настроек и программ с одного устройства на другое — прим. ред.). Это комплексный момент.
Так деньги люди зарабатывают уже достаточно давно. Раньше это начиналось с Qiwi-кошелька: «Отправь деньги на Qiwi, сообщи номер на чеке, который тебе распечатают, и ИНН на чеке и будет паролем для дешифровки». Со временем злоумышленники, видимо, поняли, что биткоины — более удобное средство. Основная проблема злоумышленников сейчас, на мой взгляд, заключается в том, что они не подсчитали распространяемость своего продукта, и он слишком хорошо разошелся. Думаю, что сейчас в связи с этим у них будут большие проблемы, потому что, я уверен, кошельки и движение средств по биткоину будут внимательно наблюдать и ждать ошибки с их стороны, чтобы их выследить.
— То есть найти авторов вируса будет несложно?
— Это зависит от того, совершат ли они ошибки. Всю схему я здесь раскрывать не буду, потому что это может помешать их поиску. Этот подход, этот механизм шифрования используется довольно массово и достаточно часто. Раньше, как правило, шифровалась бухгалтерия предприятия, механизм распространения был следующий: человек получал письмо на е-mail со вложенной ссылкой «вам счет на оплату». Он кликал, и если на компьютере у пользователя, который проходил по ссылке, стояли соответствующие права и операционная система соответствующей версии Windows, то его компьютер шифровался, его друзьям также по е-mail отсылались подобные письма и дальше требовались деньги. По сути, это все то же самое, что было несколько лет назад, и происходит постоянно. Просто механика распространения была использована некая иная. С одной стороны, мошенники используют биткоины — очевидно, что усложнится процесс выявления злоумышленников. С другой стороны, они используют более быстрые механизмы распространения вируса.
— В том, что пострадали компьютеры МВД, есть угроза безопасности для страны? Есть вероятность, что произошла утечка информации?
— Я думаю, что утечка информации вряд ли произошла. А угроза... Если сотрудники по какой-то причине не делали бэкапы и халатно относились к своим обязанностям, то вполне возможно, что угроза есть. Я бы, честно говоря, в отношении таких сотрудников, провел бы служебное расследование. Тот, кто хранит какие-то особо важную для страны информацию и не делает резервные копии, не очень относится к вопросам безопасности. Но я надеюсь, что реальной угрозы для безопасности страны нет. Единственное, что это создало некие временные неудобства. И критическая информация, во-первых, всегда дублируется, во-вторых, ее просто нет на компьютерах. А если она и есть, то я уверен, что с большой долей вероятности, она не пострадала.
— Такого масштаба атаки уже были реализованы раньше, с финансовой точки зрения, или это самая большая атака за последнее время?
— Мне сложно сказать о масштабе этой атаки. Я не считаю, что она самая большая или гигантская. Были вредоносы более страшные и более сильные уязвимости, которые позволяли распространять вредоносные программы значительно быстрее и эффективнее. Это очевидно.
Просто здесь сошлось то, что пользователю не просто устанавливается на компьютер каким-то очень эффективным методом вредная программа, а то, что этот компьютер фактически становится непригодным к пользованию, что вызывает соответствующую реакцию. Потому мошенники, создатели вредоносов, как правило, стараются создать другие механики. Т. е. программа точно так же зачастую эффективно внедряются на компьютеры, но она не блокирует его работу, она пытается другим способом монетизировать пользователя — она меняет ему рекламу, например, делает еще какие-то действия и спокойно живет с пользователем. В конечном итоге злоумышленник зарабатывает на пользователе гораздо больше, чем подобные агрессивные механики.
— Сколько в итоге удалось заработать злоумышленникам?
— Во время беседы с вами я посмотрел: беглый осмотр показывает, что злоумышленниками используются три биткоин-адреса. Суммарно на них числится 15 биткоинов.
— Если перевести на сегодняшний курс (96 806,4 рубля), то это почти 1,5 миллиона рублей. Не такая уж и большая сумма. Выходит, не все захотели дешифровывать свои компьютеры?
— Я думаю, пик будет завтра-послезавтра, заражения еще только начались, судя по интенсивности транзакций. С одного компьютера злоумышленник получает от 300 до 600 долларов.
— Можно проследить, из каких стран шли поступления? В новостях фигурировали и Великобритания, и Испания.
— Нужно посмотреть, кому принадлежит биткоин-адрес, скорее всего, они принадлежат каким-то биржам, обменным пунктам.
— Как думаете, будут те, кто просто махнет рукой и выбросит свои компьютеры?
— Некоторые не делали бэкапов, у них какая-то важная деятельность — у них просто нет выхода, они будут платить.
— А кто-то, кроме тех, кто запустил вирус, может дешифровать пораженные компьютеры?
— Возможно, теоретически решение какое-то есть. Но это будет зависеть от многих нюансов.
Внимание!
Комментирование временно доступно только для зарегистрированных пользователей.
Подробнее
Комментарии 47
Редакция оставляет за собой право отказать в публикации вашего комментария.
Правила модерирования.