Вирусы-шифровальщики входят в моду

В прошлом году мир пережил три атаки, в будущем их количество будет расти
За полгода мир подвергся трем массированным атакам вирусов-шифровальщиков
За полгода мир подвергся трем массированным атакам вирусов-шифровальщиков / Максим Стулов / Ведомости

Вирусы-шифровальщики, прежде известные в основном профессионалам, в 2017 г. обрели всемирную известность. Их идея незамысловата: проникнуть в компьютер жертвы, зашифровать его содержимое и потребовать деньги за возврат доступа к устройству.

В этом году мир пережил три атаки – WannaCry, NotPetya и BadRabbit. Все вирусы требовали выкупа в биткойнах: первые два требовали перевести криптовалюту на сумму $300 за зараженное устройство, а последний – 0,05 биткойна, что на момент атаки составляло $283. Несмотря на то что как коммерческий проект эти атаки не сложились, собрав суммарный выкуп всего на несколько сотен тысяч долларов, они нанесли ущерб на несопоставимо большую сумму. Например, недополученная выручка от кибератаки NotPetya обошлась датскому логистическому гиганту Moller-Maersk в $200–300 млн.

Опрошенные «Ведомостями» эксперты отмечают, что у злоумышленников появилась новая мода – атаковать цель не напрямую, а сперва пробравшись в инфраструктуру ее партнера или подрядчика. Он может быть гораздо хуже защищен. Таким механизмом пользовался вирус NotPetya. В качестве средства доставки он выбрал софт украинского разработчика систем документооборота M.E.Doc. У этого программного обеспечения есть встроенная функция обновления, и заражения начались через легитимные обновления M.E.Doc. M.E.Doc распространяла вирус только по Украине. Но поскольку в этой стране расположены офисы глобальных компаний, заражение распространилось от них по сетям в другие страны.

Это называется «атака на цепь поставок», рассказывает техдиректор российского офиса антивирусной компании Eset Виталий Земских. По его мнению, это логичный шаг, поскольку крупный бизнес может себе позволить значительные инвестиции в IT-защиту и обученный персонал, а вот маленькие и средние компании зачастую не выполняют даже базовых требований безопасности. Главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев уверен, что в 2018 г. увеличится количество атак на разработчиков софта: организовать такую атаку просто, а обнаружить – очень трудно. По мнению ведущего аналитика отдела развития антивирусной компании Dr.Web Вячеслава Медведева такие атаки возможны из-за развития аутсорсинга – это именно тот случай, когда выгоды бизнеса перевешивают доводы безопасности.

Сёрен Скоу
гендиректор Moller-Maersk

Откровенно говоря, это был шокирующий опыт. Электронная почта перестает работать, недоступна вся адресная книга...» – комментировал атаку NotPetya гендиректор Moller-Maersk Сёрен Скоу. Урок он извлек: «Мы должны убедиться, что можем отключить, изолировать [пораженную систему] и быстро восстановить [остальные системы]».

Атаки WannaCry, NotPetya и Bad Rabbit показали, что технологические сети могут быть даже более уязвимыми, чем корпоративные, считает Гостев. Он уверен, что в будущем году промышленные системы станут привлекательными мишенями для атак вымогателей. Ущерб можно нанести больший, чем в случае атаки на корпоративные сети, а действия персонала промышленных предприятий часто неэффективны, добавляет Гостев.

Земских сомневается, что в будущем году случится экспоненциальный рост числа программ-шифраторов. Весьма вероятно, что работать они будут эффективнее за счет качества написания кода и криптографической стойкости алгоритмов шифрования. Но средний ущерб от атак, наоборот, уменьшится благодаря тому, что пользователи пересмотрели отношение к базовым мерам защиты и средствам резервного копирования, прогнозирует Земских.

Сейчас антивирусные базы ежедневно пополняются в среднем 20 шифровальщиками, но злоумышленникам несложно нарастить количество образцов, которые не распознаются средствами защиты многих компаний, рассказывает Медведев. Впрочем, пока усложнять атаки бессмысленно – в очень многих организациях пользователи наделены правами, позволяющими запускать шифровальщики, указывает он. Сейчас шифровальщики авторства ведущих преступных группировок стали достаточно совершенными, рассказывает Медведев. Но многие вирусы содержат ошибки в коде, поэтому он прогнозирует развитие не самих шифровальщиков, а структур их обслуживания – заказной разработки, вывода денег и прочих сервисов.

За полгода мир подвергся трем массированным атакам вирусов-шифровальщиков