Российские энергетики ждут новой кибератаки
Предыдущие две парализовали сотни тысяч компьютеров в десятках странВ ближайшее время возможна новая кибератака с применением компьютерных вирусов-шифровальщиков, направленных на отказ в обслуживании элементов вычислительной инфраструктуры. Об этом энергокомпания ФСК ЕЭС (управляет Единой национальной электросетью) предупредила директоров региональных филиалов, сообщил Telegram-канал «Сайберсекьюрити и Ко». Представитель ФСК подтвердил отправку такого письма.
За последние три месяца по миру прокатилось две волны так называемых вирусов-шифровальщиков – WannaCry и NotPetya. Они проникали на компьютеры с операционной системой Windows, где не были установлены обновления, шифровали содержимое жестких дисков и требовали выкуп за расшифровку. Первая атака затронула сотни тысяч компьютеров более чем в 150 странах, вторая – свыше 10 000 компьютеров в 65 странах. Жертвами этих атак стали, в частности, российские «Мегафон» и «Роснефть».
ФСК попросила директоров ограничить доступ пользователей корпоративной сети к интернету с 4 по 14 августа, а также предупредить сотрудников, чтобы они не открывали вложения от неизвестных отправителей и не переходили по посторонним ссылкам в электронной почте. Это превентивная мера, часть обычной практики по обеспечению безопасной работы пользователей корпоративной сети, говорит представитель компании. Все громкие вирусные атаки были направлены на компьютеры административного персонала и были успешными именно из-за низкой информированности работников. Почему ФСК предупредила менеджмент именно сейчас и что послужило основанием для этого, компания не сообщила. Опрошенным «Ведомостями» компаниям, специализирующимся на информационной безопасности, не известно о возможной подготовке новой кибератаки.
Автор «Сайберсекьюрити и Ко», специалист по кибербезопасности Александр Литреев объясняет, что следы подготовки к атаке зачастую видны: компании имеют возможность отслеживать подозрительную активность на своих серверах. Когда кто-то интересуется открытыми портами на этих серверах, это может свидетельствовать о подготовке к атаке.
Вложенные файлы удерживают первое место среди способов проникновения в информационные системы банков, госорганизаций и промышленных корпораций, рассказывает заместитель директора центра компетенций Positive Technologies Алексей Новиков. По его словам, до 30% сотрудников открывают потенциально опасные вложения.
А внутри файла может быть как троян, организующий удаленный доступ к рабочему компьютеру жертвы, так и вирус-шифровальщик, объясняет он.
Такие письма злоумышленники распространяют массово и без разбора, рассказывает старший вирусный эксперт ESET Антон Черепанов. Приходят они и в компании, которые можно отнести к объектам критической инфраструктуры. Есть вероятность, что история с вирусами повторится и на объектах критической инфраструктуры, не исключает замруководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин. По его мнению, последствия могут быть любыми – от остановки внутренних процессов до техногенных катастроф с человеческими жертвами. Вирусу без разницы, куда проникать: например, WannaCry был зафиксирован не только на обычных компьютерах, но и в банкоматах, указывает представитель «Доктора Веба». Компании с критической инфраструктурой уже сталкивались с подобными угрозами. Новиков из Positive Technologies напоминает, что волна заражений вирусом Petya на Украине затронула IT-системы кабинета министров, аэропорта «Борисполь», Киевского метрополитена и даже компьютеры Чернобыльской атомной станции. А в августе 2012 г. произошла атака на корпоративную сеть Saudi Aramco (национальная нефтяная компания Саудовской Аравии), напоминает руководитель российского исследовательского центра «Лаборатории Касперского» Юрий Наместников. С нескольких десятков тысяч компьютеров была стерта информация, и они перестали загружаться. Работа компании была приостановлена на неделю и отгружать нефть ей приходилось «под честное слово», поскольку документы о сделках были уничтожены, рассказывает Наместников.
Для недопущения вирусных атак нужно своевременно обновлять программы, пользоваться белыми списками исполняемых программ и проверять почтовые вложения в специальном окружении (так называемые «песочницы»), советуют ведущий аналитик «Доктора Веба» Вячеслав Медведев и Никитин из Group-IB. Они также рекомендуют периодически проводить аудит и разделять компьютерные сети компании на части, чтобы защитить не пораженные вирусом участки. Для распознавания готовящихся атак есть специальные сервисы Threat Intelligence, напоминает руководитель поддержки продаж ESET Виталий Земских. А Наместников советует не забывать о резервном копировании данных.